設定ファイル
設定はauth-ldap-rfc4515.conf設定ファイル内にあります。
標準的な設定の設定ファイルも用意されています。
•auth-ldap-rfc4515-check-group.conf - Active Directoryグループに属しているかどうかを確認して簡易スキーマを使うLDAPによる、管理者の外部認証用設定ファイルテンプレート。 •auth-ldap-rfc4515-check-group-novar.conf - Active Directoryグループに属しているかどうかを確認して簡易スキーマを使い、変数を用いるLDAPによる、管理者の外部認証用設定ファイルテンプレート。 •auth-ldap-rfc4515-simple-login.conf - 簡易スキーマを使うLDAPによる、管理者の外部認証用設定ファイルテンプレート。 auth-ldap-rfc4515.conf設定ファイルの一般的なタグは以下のとおりです。
•<server /> - LDAPサーバー定義。
属性
|
説明
|
デフォルト値
|
base-dn
|
検索が実行されるオブジェクトエントリの相対DN。
|
Root DSEオブジェクトのrootDomainNamingContext属性値
|
cacertfile
|
ルート証明書ファイル(UNIXのみ)。
|
–
|
host
|
LDAPサーバーのアドレス。
|
•Windows OSのサーバーのドメインコントローラー。 •UNIX系OS環境のサーバーの場合は127.0.0.1。 •異なるLDAPサーバーアドレスの複数の<server/>タグを追加できます。主に負荷を受けるメインサーバーを最初に指定します。認証に失敗した場合、指定された順番に従って、次のサーバーで順次再試行されます。 |
scope
|
検索範囲。可能な値は次のとおりです。
•sub-tree - ベースDN以下のサブツリー全体 •one-level - ベースDN直下 •base - ベースDN。 |
sub-tree
|
tls
|
LDAPへの接続でTLSを確立。
|
no
|
ssl
|
LDAPへの接続時にLDAPSプロトコルを使用。
|
no
|
•<set /> - LDAP検索によって設定される変数。
属性
|
説明
|
デフォルト値
|
attribute
|
変数に値が割り当てられている属性名。省くことはできません。
|
–
|
filter
|
LDAPのRFC4515検索フィルター。
|
–
|
scope
|
検索範囲。可能な値は次のとおりです。
•sub-tree - ベースDN以下のサブツリー全体 •one-level - ベースDN直下 •base - ベースDN。 |
sub-tree
|
search
|
検索が実行されるオブジェクトエントリの相対DN。
|
存在しない場合、<server />タグのbase-dnが使用されます。
|
variable
|
変数名。文字で始まり、文字と数字のみで構成される必要があります。省くことはできません。
|
–
|
変数は<mask />と<expr />タグのadd属性の値、<filter />タグのvalue属性の値で\varnameとして使用できます。<set />タグのsearch属性の値でも使用できます。変数で許可される再帰レベルは16です。
検索で見つかった複数のオブジェクトが返された場合は、最初のものだけが使用されます。
•<mask /> - ユーザー名のテンプレート。
属性
|
説明
|
add
|
置換要素とAND演算を使用して検索フィルターに追加される文字列。
|
user
|
DOSのようなメタシンボル(*と#)を使用するユーザー名マスク。省くことはできません。
|
例:
<mask user="*@#" add="sAMAccountName=\1" />
<mask user="*\*" add="sAMAccountName=\2" />
|
\1と\2は、user属性の一致するマスクのリンクです。
•<expr /> - 正規表現を使用したユーザー名テンプレート(属性は<mask />の場合と同じ)。 例:
<expr user="^(.*)@([^.,=@\s\\]+)$" add="sAMAccountName=\1" />
<expr user="^(.*)\\(.*)" add="sAMAccountName=\2" />
|
マスクと正規表現の対応は次のとおりです。
マスク
|
正規表現
|
*
|
.*
|
#
|
[^.,=@\s\\]+
|
•<filter /> - LDAP検索フィルター。
属性
|
説明
|
value
|
置換要素とAND演算を使用して検索フィルターに追加される文字列。
|
フィルターの連結
<set variable="admingrp" filter="&(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&(objectClass=user)(memberOf=\admingrp)" />
|
検索後にadmingrpが"CN=ESuite Admins,OU=some name,DC=example,DC=com"値を取得し、ユーザー入力はdomain\userだった場合、結果のフィルターは次のとおりです。
"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"
|
LDAP/AD認証の設定例
次に、LDAPを使用した認証の一般的な設定例を示します。設定は、Control Centerの 管理 → 認証 → LDAP/AD認証 セクション(アドバンス設定)で行います。
認証が必要な管理者の初期パラメータは次のとおりです。
•ドメイン:dc.test.local •Active Directoryグループ:DrWeb_Admins Control Centerの設定:
設定
|
値
|
サーバーのタイプ
|
Microsoft Active Directory
|
サーバーアドレス
|
dc.test.local
|
認証するユーザーのログインテンプレート
|
アカウントマスク
|
test\*または*@test.local
|
ログイン
|
\1
|
認証するユーザーのメンバーシップ
|
名前
|
DrWeb_Admins
|
ジョブの種類
|
グループ
|
|