LDAP認証ログインに成功すると、LDAPユーザーが自動的に作成されます。ユーザー/パスワードの組み合わせは、LDAP認証接続の定義とクエリールールに対して有効であることが必要です。
始める前に
-
[Security Administration] (セキュリティ管理)機能を持つグローバルロールに割り当てられていること。
-
ユーザーを作成済みであること。
手順
-
に移動します。
-
ツールバーの[Authentication] (認証)フィールドで、ドロップダウンリストからLDAPを選択します。
-
ドロップダウンリストの横にある[Configure authentication] (認証の設定)アイコンをクリックします。
-
[Connection] (接続)タブで、LDAPシステムのタイプを選択します。
[Custom] (カスタム)を選択した場合は、[Attribute Mappings] (属性マッピング)タブでその他の情報を指定します。
注: Windows Active Directoryでは、Windowsドメイン形式(DOMAIN\USERNAME、例: corp\mc25438
)ではなく、UPN (ユーザープリンシパル名)形式(例: USER@FQDN
)の使用が一般的です。Active Directoryはフォレストとして構成されています。UPNを使い、ポートもデフォルトからグローバルカタログポートに変更することが必須です。
-
接続情報(URLまたはドメイン名、ユーザー名、一致するパスワード、セッションタイムアウトなど)を入力します。
必要とするLDAPユーザーとグループにクエリーを実行する場合は、十分な権限が必要です。
LDAPユーザーの認証時にパフォーマンスが低下する場合は、LDAPサーバーからのデータ取得に時間がかかっていることが多いようです。これは、Microsoft Active Directoryをデフォルトのポート389で使用している場合によく発生します。ポート3268でグローバルカタログに切り替えることをお勧めします(一般的には同じURLですがポートが異なります)。
-
[Attribute Mappings] (属性マッピング)タブで、LDAPユーザー属性のマッピング情報を入力します。
-
[Group Assignment] (グループ割り当て)タブに移動し、LDAPセキュリティモデルに基づいてグループを自動的に割り当てます。
- [Add] (追加)をクリックした後、クエリーの名前を入力し、ユーザーに関連付けられるグループをクエリー内で定義します。
- グループ名でグループを割り当てるには、[Group] (グループ)エントリーの[Browse] (参照)アイコンをクリックし、LDAPシステムにグループ名を入力して、そのグループの[Distinguished Name] (識別名)を選択します。
- 検索フィルターを指定して個別のユーザーを含めるには、CN=company,CN=Users,DC=company,DC=localのように検索ルートを指定した後、検索フィルターエントリーの[Browse] (参照)アイコンをクリックしてフィルター内のユーザーを選択します。
- 検索フィルターを指定して個別のユーザーを除外するには、CN=company,CN=Users,DC=company,DC=localのように検索ルートを指定した後、(&(!(sAMAccountName=username1))(!(sAMAccountName=username)))という構文を使い、[OK]をクリックします。
グループ割り当て用の最初のLDAPクエリーを作成すると、手動管理のネイティブなグループ割り当てから、LDAPによる自動グループ割り当てへとすべてのLDAPユーザーで切り替わります。LDAPユーザーに対して過去に行われていたネイティブなグループ割り当ては、次回ログイン時に失われます。
グループ割り当て用の最後のLDAPクエリーを削除すると、LDAPによるグループ割り当てからネイティブなグループ割り当てへと切り替わります。LDAPユーザーは他のグループに手動で割り当てられるまで、Guestグループに関連付けられます。
-
[Test] (テスト)をクリックして変更を保存します。