コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。Kerberos用コンフィグファイルを作成する
認証サーバとしてKerberosサーバを使用するには、テキストエディタでコンフィグファイルを作成し、認証サーバおよび認可サーバの情報を次の形式で定義します。ファイル名および拡張子は任意です。なお、認可サーバを使用しない場合は、認可サーバについての項目の定義は不要です。
コンフィグファイルをWindows標準のメモ帳アプリケーションで保存する場合は保存時に文字コード「ANSI」を指定してください。
メモ帳以外のエディタを使用しておりUTF-8のBOM設定がある場合は、「BOMなし」を指定して保存してください。
形式
#コメント auth.server.type=kerberos auth.group.mapping=<値> auth.kerberos.<属性>=<値> auth.group.<レルム名>.<属性>=<値>
例
auth.server.type=kerberos auth.group.mapping=true auth.kerberos.default_realm=example.com auth.kerberos.dns_lookup_kdc=true auth.kerberos.clockshow=300 auth.kerberos.timeout=10 auth.group.example.com.searchdn=CN=sample1,CN=Users,DC=domain,DC=localauth.group.example.com.searchpw=passwordauth.ldap.PrimaryServer.basedn=CN=Users,DC=domain,DC=local
Kerberos用設定項目(認証サーバ分)
|
属性 |
説明 |
省略可否 |
デフォルト値 |
|---|---|---|---|
|
auth.server.type |
認証サーバの種別。kerberosを指定してください。 |
必須 |
なし |
|
auth.group.mapping |
認可サーバと連携するかどうか。
|
省略可 |
false |
|
auth.kerberos.default_realm |
デフォルトのレルム名。 |
必須 |
なし |
|
auth.kerberos.dns_lookup_kdc |
DNSサーバのSRVレコードに登録してある情報を使用してKerberosサーバを検索するかどうか。
ただし、「realm_name」「<realm_nameに指定した値>.realm」および「<realm_nameに指定した値>.kdc」が指定されている場合は、「true」を指定しても検索されません。 |
省略可 |
false |
|
auth.kerberos.clockskew |
SVPとKerberosサーバ間の時刻の差の許容範囲。 0~300の範囲で指定します。※1 |
省略可 |
300 |
|
auth.kerberos.timeout |
Kerberosサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※1 |
省略可 |
10 |
|
auth.kerberos.realm_name |
レルム識別名。レルムごとにKerberosサーバの情報を区別するための任意の名称。同じレルム名は重複登録はできません。複数登録する場合は、コンマ(,)で区切ってください。 これより以下の項目では、ここで設定した値を<レルム識別名>といいます。 |
省略可※2 |
なし |
|
auth.kerberos.<レルム識別名>.realm |
Kerberosサーバに設定してあるレルム名。 |
省略可※2 |
なし |
|
auth.kerberos.<レルム識別名>.kdc |
Kerberosサーバのホスト名またはIPv4アドレス、およびポート番号。 「<ホスト名またはIPアドレス>[:ポート番号]」の形式で指定してください。 |
省略可※2 |
なし |
注※1
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
注※2
「auth.kerberos.dns_lookup_kdc」で「true」を指定した場合に省略できます。
Kerberos用設定項目(認可サーバ分)
|
属性 |
説明 |
省略可否 |
デフォルト値 |
|---|---|---|---|
|
auth.group.<レルム識別名>.protocol |
使用するLDAPプロトコル。
|
必須 |
なし |
|
auth.group.<レルム識別名>.port |
LDAPサーバのポート番号。1~65535の範囲で指定します。※1 |
省略可 |
389 |
|
auth.group.<レルム識別名>.searchdn |
検索用ユーザのDN。※2 |
必須 |
なし |
|
auth.group.<レルム識別名>.searchpw |
検索用ユーザのパスワード。LDAPサーバに登録しているパスワードと同じ値を指定してください。 |
必須 |
なし |
|
auth.group.<レルム識別名>.timeout |
LDAPサーバとの接続タイムアウトを検出するまでの時間。1~30の範囲で指定します。単位は秒です。※1 |
省略可 |
10 |
|
auth.group.<レルム識別名>.retry.interval |
LDAPサーバの通信に失敗した場合のリトライ間隔。1~5の範囲で指定します。単位は秒です。※1 |
省略可 |
1 |
|
auth.group.<レルム識別名>.retry.times |
LDAPサーバの通信に失敗した場合のリトライ回数。0~3の範囲で指定します。0を指定するとリトライしません。※1 |
省略可 |
3 |
|
auth.group.<レルム識別名>.basedn |
認証するユーザを検索する際に基点となるDN(BaseDN)。指定したDNより下の階層のユーザが検索の対象となるため、検索するユーザをすべて含む階層のDNを指定してください。※2 |
省略可 |
abbr |
注※1
指定可能な値以外を指定した場合は、デフォルト値が設定されます。
注※2
属性値に記号(+ ; , < = >など)を入力する場合、記号の前に円記号(\)を入力してエスケープしてください。記号を複数入力する場合、1文字ごとに円記号(\)を入力してください。
例えば、searchdnに指定した値が「abc++」の場合は、次のように入力して「+」をエスケープしてください。
abc\+\+
ただし、\、/、または"を入力するときは、円記号(\)のあとにそれぞれの記号のASCIIコードを16進数で入力してください。
「\」は、「\5c」と入力します。
「/」は、「\2f」と入力します。
「"」は、「\22」と入力します。
例えば、searchdnに指定した値が「abc\」の場合は、次のように入力してください。
abc\5c