Lightweight Directory Access Protocol 拡張設定

ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリー置かれている場合に、このページを使用して拡張 LDAP ユーザー・レジストリー設定を構成します。

この管理ページを表示するには、「セキュリティー」 >「ユーザー・レジストリー」>「LDAP」> 「拡張 LDAP 設定」の順にクリックします。

すべてのユーザーおよびグループ関連フィルターのデフォルト値は、該当するフィールドですでに指定されています。ユーザーの要件によっては、これらの値を変更できます。これらのデフォルト値は、「LDAP 設定」パネルで選択された LDAP サーバーのタイプに基づいています。 このタイプが変更された場合 (例えば、Netscape から Secureway に)、デフォルトのフィルターは自動的に変更されます。デフォルトのフィルター値が変更されると、LDAP サーバー・タイプは、カスタム・フィルターを使用することを示すために、Custom に変更になります。セキュリティーが使用可能になっており、しかもこれらのプロパティーのいずれかが変更された場合、「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を確認してください。

「構成」タブ

ユーザー・フィルター
ユーザー用のレジストリーを検索する LDAP ユーザー・フィルターを指定します。

このオプションは一般に、ユーザーへのセキュリティー役割の割り当てに使用します。ディレクトリー・サービスでのユーザーの検索に使用するプロパティーを指定します。例えば、ユーザー ID を基にしてユーザーを検索するには、 (&(uid=%v)(objectclass=inetOrgPerson)) と指定します。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

データ型: ストリング
グループ・フィルター
グループ用のユーザー・レジストリーを検索する LDAP グループ・フィルターを指定します。

このオプションは一般に、グループへのセキュリティー役割の割り当てに使用します。ディレクトリー・サービスでのグループの検索に使用するプロパティーを指定します。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

データ型: ストリング
ユーザー ID マップ
LDAP エントリーにユーザーの短縮名をマップする LDAP フィルターを指定します。

ユーザーが表示されるときにユーザーを表す情報を指定します。例えば、型 object class = inetOrgPerson のエントリーを ID 別に表示する場合、 inetOrgPerson:uid と指定します。このフィールドには、セミコロン (;) で区切られた objectclass:property の複数のペアが入ります。

データ型: ストリング
グループ ID マップ
LDAP エントリーにグループの短縮名をマップする LDAP フィルターを指定します。

グループが表示されるときにグループを表す情報を指定します。例えば、グループを名前別に表示するには、*:cn と指定します。アスタリスク (*) はワイルドカード文字であり、アスタリスクを使用すると、あらゆるオブジェクト・クラスを検索します。このフィールドには、セミコロン (;) で区切られた objectclass:property の複数のペアが入ります。

データ型: ストリング
グループ・メンバー ID マップ
ユーザーとグループの関係を識別する LDAP フィルターを指定します。

ディレクトリー・タイプ SecureWay、Netscape、および Domino の場合、このフィールドには、セミコロン (;) で区切られた objectclass:property の複数のペアが入ります。objectclass:property ペアでは、オブジェクト・クラス値はグループ・フィルターで定義されるオブジェクト・クラスと同じオブジェクト・クラスであり、プロパティーはメンバー属性です。オブジェクト・クラス値がグループ・フィルターのオブジェクト・クラスに一致しない場合、グループがセキュリティー役割にマップされると許可が失敗することがあります。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

IBM Directory Server、iPlanet Directory Server、および Active Directory の場合、このフィールドには、セミコロン (;) で区切られた複数のペア (group attribute:member attribute) が入ります。 これは、所定ユーザーが所有するすべてのグループ属性を列挙して、ユーザーのグループ・メンバーシップを検索する際に使用します。例えば、属性ペア (memberof:member) は Active Directory が使用し、(ibm-allGroup:member) は IBM Directory Server が使用します。また、このフィールドは、オブジェクト・クラスのどのプロパティーがそのオブジェクト・クラスで表されるグループに属するメンバーのリストを保管するかを指定します。サポートされる LDAP ディレクトリー・サーバーについて詳しくは、『サポートされるディレクトリー・サービス』を参照してください。

データ型: ストリング
証明書マップ・モード
X.509 証明書を LDAP ディレクトリーにマップする際、EXACT_DN と CERTIFICATE_FILTER のどちらを使用するかを指定します。指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。
データ型: ストリング
証明書フィルター
LDAP フィルターを指定する場合に、証明書マッピングのフィルターというプロパティーを使用するかどうかを指定します。 LDAP フィルターは、クライアントの証明書の属性を LDAP レジストリー・エントリーにマップするときに使用します。

このフィールドを使用可能にするには、証明書マッピングに対して「CERTIFICATE_FILTER」をクリックします。実行時に複数の LDAP エントリーがフィルターの指定に一致すると、あいまい一致となるので認証は失敗します。このフィルターの構文または構造は、LDAP attribute=${Client certificate attribute} (例えば、uid=${SubjectCN}) です。フィルター仕様の左辺は LDAP 属性で、これは LDAP サーバーが構成時に使用するスキーマにより異なります。フィルター仕様の右辺は、クライアント証明書にあるパブリック属性の 1 つです。右辺は、ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。フィルター仕様の右辺には、以下の証明書属性値を使用できます。ストリングの大文字小文字の区別は重要です

  • ${UniqueKey}
  • ${PublicKey}
  • ${PublicKey}
  • ${Issuer}
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectCN}
  • ${Version}

データ型: ストリング

関連情報

管理コンソールのボタン
管理コンソール・ページのフィーチャー
管理コンソールの有効範囲設定
管理コンソールのフィルター設定
管理コンソールの設定の変更
Lightweight Directory Access Protocol 設定