Microsoft Active Directory の LDAP パラメーターの設定

Microsoft Active Directory の構成パラメーターを定義して、ご使用の環境に追加のセキュリティー・オプションを提供します。

始める前に

構成パラメーターを設定する前に、認証テストを実行して、ユーザー、グループ、およびメンバーシップの検索フィルターが正しく動作することを確認します。詳しくは、「関連タスク」セクションを参照してください。

以下のステップを実行するには、「セキュリティー管理 (全アクセス権)」アクセス権を持つ「セキュリティー管理」ロールが割り当てられている必要があります。

このタスクについて

以下の手順で示すサンプルの検索パラメーターは、ご使用の LDAP サーバー・スキーマに合わせて変更する必要がある場合があります。

システム・コンソール、コマンド行インターフェース、または REST API を使用して、このタスクを完了できます。コマンド行および REST API の情報については、「関連情報」 セクションを参照してください。

手順

  1. 「システム」 > 「セキュリティー」をクリックします。
  2. 「LDAP 設定」セクションを展開して、以下の構成パラメーターを設定します。
    LDAP プロバイダー URL
    LDAP サーバー・ホスト名、ポート番号、および LDAP プロトコルまたは LDAPS プロトコル。ホスト名は、ご使用の LDAP サーバーの完全修飾ドメイン名または IP アドレスのいずれかである必要があります。ホスト名は、標準 LDAP の場合は ldap:// で始まる必要があり、Secure Sockets Layer (SSL) トンネル経由で LDAP サーバーに接続する場合は ldaps:// で始まる必要があります。

    機密性の高いユーザー資格情報の保護には、LDAPS プロトコルが推奨されます。LDAPS を選択する場合は、LDAP サーバー X.509 証明書を検証して受け入れる必要があります。

    セキュリティー資格情報
    セキュリティー資格情報は、PureApplication® System が SSL 接続経由の LDAP で構成されている場合にのみ使用されます (例えば、アドレスに ldaps:// を使用している場合)。セキュリティー資格情報は X.509 証明書で、PureApplication System にローカルで保管されている必要があります。システムでは、セキュリティー資格情報を使用して LDAP サーバーを信頼するかどうかを決定します。

    「保管する証明書番号:」フィールドを使用して、システムがクラスター化された LDAP 環境を信頼できるようにします。この環境では、各 LDAP サーバーが、共通の認証局から発行された固有の X.509 証明書を持っています。共通の認証局を信頼するように PureApplication System を構成すると、システムはデフォルトで、信頼された認証局から発行された証明書をすべて信頼します。

    LDAP セキュリティー認証
    LDAP サーバーで匿名アクセスが許可されていない場合に、LDAP ディレクトリーの検索を許可される LDAP ユーザーの識別名 (DN)。
    パスワード
    LDAP セキュリティー認証ユーザーのパスワード。
    LDAP ベース DN (ユーザー)
    LDAP サーバーでユーザー・エントリーを検索する際に使用されるベース DN サブツリー。各項目に、LDAP データ交換形式 (LDIF) 構文を使用します。
    LDAP ベース DN (グループ)
    LDAP サーバーでグループ・エントリーを検索する際に使用されるベース DN サブツリー。
    検索フィルター (ユーザー)
    注: LDAP 認証テストを実行して、ユーザー検索フィルターが有効であることを確認してください。詳しくは、以下の「関連タスク」セクションの『LDAP 認証設定のテスト』をクリックしてください。
    LDAP ベース DN (ユーザー) サブツリーで、ユーザー名に一致するエントリーを検索するためのフィルター。例えば、以下の LDAP ユーザー・エントリーの例を参照してください。
    dn: CN=testuser,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    objectClass: top
    objectClass: person
    objectClass: organizationalPerson
    objectClass: user
    cn: testuser
    givenName: testuser
    distinguishedName: CN=testuser,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    instanceType: 4
    whenCreated: 20121016115033.0Z
    whenChanged: 20121128154238.0Z
    displayName: testuser
    uSNCreated: 12880
    uSNChanged: 30679
    name: testuser
    objectGUID:: FHdAtR/CQEyxvINHhsGnLw==
    userAccountControl: 2687488
    badPwdCount: 1
    codePage: 0
    countryCode: 0
    badPasswordTime: 129954117792502335
    lastLogoff: 0
    lastLogon: 129949649905545787
    pwdLastSet: 129948648233962943
    primaryGroupID: 513
    objectSid:: AQUAAAAAAAUVAAAABP7bJiQPVlNtcWUsVAQAAA==
    accountExpires: 9223372036854775807
    logonCount: 0
    sAMAccountName: testuser
    sAMAccountType: 805306368
    userPrincipalName: testuser@secfvt2.austin.ibm.com
    objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=secfvt2,DC=austin,DC=i
     bm,DC=com
    dSCorePropagationData: 16010101000000.0Z
    lastLogonTimestamp: 129985909582341952
    以下のフィルターは、システムへのログインに使用されたユーザー ID に一致するユーザー ID 属性 sAMAccountName を持つエントリーを検索します。このフィルターは、organizationalPerson オブジェクト・クラスおよび person オブジェクト・クラス内のエントリーのみを検索します。
    "(&(sAMAccountName={0})(ObjectClass=organizationalPerson)(ObjectClass=person))" 

    一致があった場合、{0} プレースホルダーがログイン画面のユーザー ID で置き換えられます。

    検索フィルター (グループ)
    注: LDAP 認証テストを実行して、グループ検索フィルターが有効であることを確認してください。詳しくは、以下の「関連タスク」セクションの『LDAP 認証設定のテスト』をクリックしてください。
    LDAP ベース DN (グループ) サブツリーで、グループ名に一致するエントリーを検索するためのフィルター。例えば、以下の LDAP グループ・エントリーの例を参照してください。
    dn: CN=group1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    objectClass: top
    objectClass: group
    cn: group1
    member: CN=WIMUser3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=WIMUser1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=user3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=user1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=KRBUser3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=KRBUser1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=LDAPUser3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    member: CN=LDAPUser1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    distinguishedName: CN=group1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
    instanceType: 4
    whenCreated: 20121016162937.0Z
    whenChanged: 20121016214016.0Z
    uSNCreated: 12972
    uSNChanged: 22942
    name: group1
    objectGUID:: RyfdOC8kXEyOk7Q+qjtjSg==
    objectSid:: AQUAAAAAAAUVAAAABP7bJiQPVlNtcWUsXwQAAA==
    sAMAccountName: group1
    sAMAccountType: 268435456
    groupType: -2147483646
    objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=secfvt2,DC=austin,DC=ib
     m,DC=com
    dSCorePropagationData: 16010101000000.0Z
    以下のフィルターは、グループ名に一致するグループ ID 属性 sAMAccountName を持つエントリーを検索します。このフィルターは、Group オブジェクト・クラス内のエントリーのみを検索します。
    "(&(sAMAccountName={0})(ObjectClass=Group))" 

    一致があった場合、{0} プレースホルダーがグループ名で置き換えられます。

    LDAP メンバーシップ検索フィルター・パターン
    注: LDAP 認証テストを実行して、メンバー検索フィルターが有効であることを確認してください。詳しくは、以下の「関連タスク」セクションの『LDAP 認証設定のテスト』をクリックしてください。
    LDAP ベース DN (グループ) サブツリーに含まれるグループ・メンバー・エントリーのリストを返すために使用されるフィルター。例えば、以下のフィルターは、group オブジェクト・クラス内で特定のグループをメンバーとして含むエントリーを検索します。
    "(&(member={0}) (objectclass=group))" 
    LDAP ユーザー検索属性
    ユーザーの固有 ID を表す属性の名前。通常、LDAP ユーザー検索属性は、ユーザー検索フィルターで使用されるユーザー ID 属性 (sAMAccountName) と一致します。
    注: LDAP ユーザー検索属性の値は、ユーザーをシステムに追加する際に使用された値と一致している必要があります。
    LDAP グループ検索属性
    グループ検索フィルターで、グループ名を表す属性の名前。通常、LDAP グループ検索属性は、グループ検索フィルターで使用されるグループ ID 属性と一致します。例えば、グループ検索フィルターでの属性名が sAMAccountName の場合、LDAP グループ検索属性も sAMAccountName である必要があります。何も指定しない場合、sAMAccountName 値がデフォルト値です。
    LDAP メンバーシップ検索属性
    グループ内のメンバー・ユーザー属性。この属性を指定しない場合、メンバーシップ検索ではユーザーの完全識別名 (DN) が使用されます (例えば、member: cn=Test User1, ou=WebSphere, o=IBM, c=US)。検索照会で完全 DN とは異なる値を指定するのは、DN の特定の属性を使用する必要がある場合のみにしてください。
    LDAP JNDI 接続プール
    この値を Yes (デフォルト値) に設定すると、JNDI 接続プーリングが有効になります。この設定を変更する場合は、IBM サービス・エンジニアにお問い合わせください。
    LDAP JNDI 読み取りタイムアウト (ミリ秒)
    LDAP サーバーの応答を待機する時間。デフォルト値は 5 分です。タイムアウト・オプションを無効にするには、値 0 を指定します。
    LDAP サーバー・タイプ
    LDAP サーバーのタイプ。Microsoft Active Directory を使用する場合は、「Microsoft Active Directory」を選択します。