C2. LDAP認証

 トップ  前  次

設定はauth-ldap.xml設定ファイル内にあります。

設定ファイルの一般的なタグは以下のとおりです。

<enabled/> および <order/> — Active Directoryと同様。

<server/> — LDAP Serverアドレスを指定します。

<user-dn/> — DOS-likeマスクを使用して名前をDN(Distinguished Name:識別名)へ変換する際のルールを定義します。

<user-dn/>タグ内では、以下のワイルドカードの使用が可能です。

* は、. , = @ \ および空白を除く任意の記号のシーケンスと置き換えられます。

# は、任意の記号のシーケンスと置き換えられます。

<user-dn-expr/> — 正規表現を使用して名前をDNへ変換する際のルールを定義します。

以下の2つは同じルールです。

<user-dn user="*@example.com" dn="CN=\1,DC=example,DC=com"/>
<user-dn-expr user="(.*)@example.com" dn="CN=\1,DC=example,DC=com"/>

\1 .. \9 は * 記号の値を置き換える場所、またはテンプレートでの角括弧内の表現を定義します。

この原理により、ユーザー名がlogin@example.comと指定されていた場合、変換後のDNは"CN=login,DC=example,DC=com"になります。

<user-dn-extension-enabled/> — ユーザー名をDNに変換するために、ldap-user-dn-translate.dsextensionsフォルダから)がLuaスクリプトを実行することを可能にします。。このスクリプトはuser-dnuser-dn-exprルールの使用が試行された後、適切なルールが見つからなかった場合に実行されます。スクリプトは、パラメータを1つ(指定されたユーザー名)持ちます。スクリプトはDNを含んだストリングを返すか、または何も返しません。適切なルールが見つからず、スクリプトが無効であるかまたは何も返さない場合、指定されたユーザー名がそのまま使用されます。

変換の結果定められたDNに対するLDAPオブジェクトの属性およびその可能な値はタグによって定義されます(デフォルト値が提示されます)。

<!-- DrWebAdmin attribute equivalent (OID 1.3.6.1.4.1.29690.1.3.1) -->
<admin-attribute-name value="DrWebAdmin" true-value="^TRUE$" false-value="^FALSE$"/>

true-value/false-valueパラメータの値として、正規表現が指定されます。

定義されていない管理者属性の値が存在し、設定ファイル内で<group-reference-attribute-name value="memberOf"/>タグが設定されている場合、memberOf属性の値はこの管理者が含まれているDNグループのリストであると見なされ、必要な属性の検索はActive Directoryの場合と同様にそのグループ内で実行されます。