Agent のインストールおよび構成 > PTC RV&S Agentセキュリティ > LDAP 準拠のセキュリティ領域の設定
LDAP 準拠のセキュリティ領域の設定
Kerberos または LDAP 認証ドメインでのセキュリティ設定を使用する場合は、セキュリティ領域を設定する必要があります。セキュリティ領域を設定するには、次の手順に従います。
領域のプロパティを設定します。
ディレクトリ サーバーから返されたエントリ数に対するバッチ サイズを確認します。
必要に応じて、Secure Sockets Layer を使用するように領域を設定します。
フェールオーバー設定を確認します。
セキュリティ領域プロパティの設定
security.properties ファイルで LDAP 準拠のセキュリティ領域のプロパティを設定します。一般的な設定は、サポートされている次の各領域で事前に構成されています。
OpenLDAP サーバー
Microsoft Active Directory Services (ADS)
Netscape ディレクトリ サーバー
サポートされているすべてのサーバー上の RFC 2307 ベース スキーマ
Novell Directory Services
セキュリティ領域と通信するように PTC RV&S Agent を設定するには、セキュリティ領域に対応するプロパティのコメントを解除し、この項に記載されているサーバー、ユーザー、グループ、およびメンバーシップのプロパティを編集します。
LDAP 準拠のセキュリティ領域がどのように実装されているかを理解しておく必要があります。少なくとも、識別名 (DN)、LDAP 検索フィルタ、および LDAP スキーマについてよく理解している必要があります。
セキュリティ領域のプロパティの詳細については、LDAP ドキュメンテーション、または Web で入手できる他のリソースを参照してください。1
* 
PTC RV&S Agent では、LDAP v3 セキュリティ領域のパスワード期限切れ機能がサポートされています。この機能をサポートしている LDAP サーバーは、Sun One、iPlanet、Netscape のディレクトリ サーバーだけです。
LDAP バインド資格情報のプロパティ
これらの設定は、ユーザーおよびグループを列挙する際に使用される LDAP バインド資格情報を確立します。
プロパティ
説明
ldap.host
LDAP サーバーのホスト名 (または IP アドレス)。
ldap.port
接続先の LDAP サーバー ポート。デフォルトでは、クリア プロトコルを使用した接続用の server.port389 で、プライベート プロトコルを使用した接続用は 636 です。
ldap.principal
LDAP サーバーに接続するために使用するユーザーおよびプリンシパルの識別名 (DN)。プリンシパルは、非特権ユーザー (つまり読み取り専用アクセス) であることが必要です。
ldap.credential
上記のユーザーおよびプリンシパルのパスワード。
LDAP 照会に従う場合、次の形式を使用して追加のサーバー アドレスを指定します。
ldap.host.1=<host1>
ldap.principal.1=<principaluser>
ldap.credential.1=<principleuserpassword> ldap.host.2=<host2>
ldap.principal.2=<principaluser
ldap.server.credential.2=<principaluserpassword>
照会がこの一覧で指定されない場合、追従されません。
ホスト名は DNS を使用して検索され、フェールオーバー メカニズムが適用されます。
ユーザー プロパティ
これらの設定は、ディレクトリ内のユーザーの検索場所を定義します。
プロパティ
説明
ldap.user.dn
ユーザーを検索するための 1 つ以上の基本識別名 (DN)。
ldap.user.filter
ユーザー エントリに一致する LDAP 検索フィルタ (ここで %u はユーザーに置き換えられます)。
ldap.user.scope
ユーザーを検索する範囲。許可される値は、subtreeone-levelbase です。デフォルトでは、ldap.user.scope=subtree です。
ldap.user.name
ユーザー名またはユーザー ID。
ldap.user.displayname
ユーザーのフル ネーム。このプロパティを指定すると、フル ネームがオンになります。
ldap.user.e-mail
ユーザーの電子メール アドレス。
rfc 2307 領域のプロパティは未定義です。
ldap.user.servicePrincipalAttrName
ユーザーをサービスプリンシパルとして識別するために使用する LDAP 属性を指定します。たとえば、LDAP サーバーでユーザー属性が isServicePrincipal=TRUE に設定されている場合は、このプロパティを isServicePrincipal に設定する必要があります。
ldap.user.servicePrincipalAttrValue
サービスプリンシパル属性の期待値を定義します。ldap.user.servicePrincipalAttrName プロパティの例を使用すると、ユーザーが LDAP サーバー上で isServicePrincipal=”TRUE” でマークされている場合、このプロパティを "TRUE" に設定する必要があります。
ldap.user.objectclass
オブジェクトを示すオブジェクト クラス値は user です。
Windows のセキュリティ領域でのセキュリティ設定を使用する場合、user.filter エントリのデフォルト設定では、通常 mkern などの短いユーザー ログイン名を使用する Windows 2000 以前の認証メソッドが使用されます。電子メール アドレス ([email protected] など) を使用してログインする場合は、ldap.user.filter および ldap.user.name l プロパティの両方で samaccountnamemail 属性を置換することによって、このエントリを変更する必要があります。例を次に示します。
ldap.user.filter=(&(mail=%u)(objectclass=user) (objectcategory=person)) 
ldap.user.scope=subtree
ldap.user.name=mail
ldap.user.displayname=displayName
ldap.user.e-mail=mail
ldap.user.objectclass=user
LDAP 準拠のセキュリティ領域では、結果が 1000 を超えるクエリが許可されない場合があります。多数のユーザーがいる場合、複数の DN を設定して、結果の数が少ない複数のクエリを送信する必要があります。たとえば、ユーザーが 1000 人未満の小さなコンテキストの場合、より具体的な複数の DN を作成できます。
user.dn.1=ou=support,ou=users,dc=northamerica,dc=support,dc=com
user.dn.2=ou=boston,ou=users,dc=northamerica,dc=support,dc=com
user.dn.3=ou=qa,ou=users,dc=northamerica,dc=support,dc=com
user.dn.4=ou=development,ou=users,dc=northamerica,dc=support,dc=com
PTC RV&S Agent に接続するユーザーだけをリストする必要があります。
メンバー プロパティ
これらの設定は、ディレクトリ内のグループのメンバーの検索場所を定義します。
プロパティ
説明
ldap.member.dn
グループ メンバーを検索するための 1 つ以上の基本識別名 (この場合、%M はグループのメンバー名および DN 値に置き換えられます)。
ldap.member.filter
メンバーを解決するためのフィルタ (ここで %M はグループのメンバー名および DN 値に置き換えられます)。
ldap.member.scope
メンバーを検索する範囲。許可される値は、subtreeone-levelbase です。
組織単位のプロパティ
これらの設定はオブジェクト クラス名を定義し、組織単位の名前を表示します。
プロパティ
説明
ldap.ou.objectclass
組織単位のオブジェクト クラス名。
ldap.ou.name
組織単位の名前を表示します。

これは役に立ちましたか?