固有の属性値によるバインド

オンライン編集

識別名 (DN) とパスワードの代わりに、固有値を持つ属性とパスワードを使用して、ディレクトリー・サーバーにバインドできます。 DN 値は長い場合がありますが、固有の属性値の方が記憶するのが簡単です。

制約事項: 固有の属性値を持つバインド操作は、プロキシー・サーバーではサポートされません。

バインド操作において固有値を持つ属性とパスワードを使用するには、次の操作が必要です。

  • ディレクトリー・サーバー・インスタンスで固有値を持つ属性を識別します。
  • cn=Configuration エントリーの下に ibm-slapdUniqueAttrForBindWithValue 属性を構成し、固有値を含む属性を使用してその値を設定します。 例えば、mailuid などの固有値を持つ属性を使用します。 ibm-slapdUniqueAttrForBindWithValue 属性では複数値の属性を割り当てることができますが、複数値の属性の値は固有にする必要があります。
重要: ibm-slapdUniqueAttrForBindWithValue 属性には、以下の属性タイプを割り当てないでください。
  • 属性値で = 文字を使用している属性。
  • 暗号化属性。

バインド操作用の属性を変更するには、ibm-slapdUniqueAttrForBindWithValue 属性値を変更して、ディレクトリー・サーバーおよび管理サーバーを再始動します。

以下の例では、ibm-slapdUniqueAttrForBindWithValue 属性を持つ cn=Configuration 項目を示します。

dn: cn=Configuration
cn: Configuration
ibm-slapdAdminDN: cn=root
ibm-slapdAdminGroupEnabled: true
ibm-slapdAdminPW: {AES256}0iBLFmJJXwLM5eocBxeJZw==
...
...
ibm-slapdTimeLimit: 900
ibm-slapdTraceMessageLevel: 0xFFFF
ibm-slapdTraceMessageLog: /home/dsrdbm01/idsslapd-dsrdbm01/logs/traceibmslapd.log
ibm-slapdUniqueAttrForBindWithValue: mail
ibm-slapdVersion: 6.4
objectclass: top
objectclass: ibm-slapdConfigEntry
objectclass: ibm-slapdTop

エラー・コード

バインド操作で属性を使用すると、ディレクトリー・サーバーは、以下の理由により LDAP_INVALID_CREDENTIALS エラーを生成します。

  • バインド操作で使用される属性がいずれの項目にも関連付けられていません。
  • パスワードが正しくありません。
  • 属性に固有値が含まれていないか、または複数の項目が属性値に関連付けられています。

ibmslapd.log ファイルには、エラー・メッセージも記録されます。

他の条件に対してディレクトリー・サーバーがエラーを生成した場合は、LDAP_INVALID_CREDENTIALS エラー・コードを返します。 サーバー・トレースを活動化した場合は、traceibmslapd.log ファイルにもエラー・メッセージが記録されます。

固有の属性値によるバインドでの監査ログの項目

セキュリティー上の目的により、監査ログを有効にして、ディレクトリー・サーバーで失敗した操作および成功した操作をすべて記録することができます。 サーバーは、サーバーに対して固有の属性値によるバインドとなった操作について、監査ログ・ファイルに以下の属性を記録します。

  • bindDN: unique_attr_value
  • name: DN_entry_value

bindDN 項目は unique_attr_value を記録しますが、これはサーバーでのバインドに使用されていました。 name 項目は DN 項目を記録しますが、これは固有の属性値に関連付けられています。 以下の例では、これらの値を持つ監査記録を示します。

AuditV3--2013-05-20-21:43:38.903+5:30--V3 Bind--bindDN: al.garcia@sample.com
 --client: 127.0.0.1:17042--connectionID: 2--received: 2013-05-20-21:43:38.881+5:30
 --Success
controlType: 1.3.6.1.4.1.42.2.27.8.5.1
criticality: false
name: cn=Al Garcia, ou=Home Entertainment, ou=Austin, o=sample
authenticationChoice: simple
AuditV3--2013-05-20-21:43:38.961+5:30--V3 Search--bindDN: al.garcia@sample.com
 --client: 127.0.0.1:17042--connectionID: 2--received: 2013-05-20-21:43:38.896+5:30
 --Success
controlType: 1.3.6.1.4.1.42.2.27.8.5.1
criticality: false
base: o=sample
scope: wholeSubtree
derefAliases: neverDerefAliases
typesOnly: false
filter: (objectclass=*)
numberOfEntriesReturned: 2
AuditV3--2013-05-20-21:43:38.962+5:30--V3 Unbind--bindDN: al.garcia@sample.com
 --client: 127.0.0.1:17042--connectionID: 2--received: 2013-05-20-21:43:38.962+5:30
 --Success

パススルー認証での固有の属性値によるバインド

バインド操作用に構成された属性を使用して、認証サーバーで認証を行うことができます。 バインド操作で DN 値とパスワードを使用する代わりに、固有の属性値とパスワードを使用します。

認証サーバーでユーザー項目が使用できない場合、サーバーはエラーを生成します。 固有の属性値とパスワードによるパススルー認証の場合は、認証サーバーでこの項目が使用可能である必要があります。