クエリの例
このセクションでは、ディレクトリLDAPサーバーのクエリの例を示します。 Active Directory LDAPサーバーの構成は、オブジェクトクラスの値、検索コンテキスト、およびユーザーまたはグループの属性値が異なる場合があることを除いて、同様です。
<PREFIX> = { activedirectory }
グループフィルターを使用して特定のグループを検索
すべてのグループフィルターは、上記の「検索フィルター構文」領域で説明した検索フィルター構文を使用できます。
例
名前に接頭辞「cs_」が含まれるすべてのグループを検索します。ここで、「Y」はドメインタイプのグループオブジェクトクラスであり、「Z」はグループ名属性です。
解決策の例:
<PREFIX>.all.groups.filter=(&(objectclass=Y)(Z=cs_*))
注:この方法は、特定のユーザーを見つけるためにも使用できます。
ユーザーまたはグループを検索するために複数の場所を指定
すべての検索コンテキスト属性は、複数の検索コンテキストでのLDAPオブジェクトの検索をサポートできます。 「|」文字を使用して、複数の検索コンテキストを区切ります。
<PREFIX>。*。search.context=CONTEXT_1|CONTEXT_2|...|CONTEXT_N
例
<PREFIX>.all.groups.search.context=cn=users|cn=users2
この例は、cn=usersおよびcn=users2検索コンテキストのグループ用です。
LDAP認証の大文字と小文字の区別を無効化
デフォルトでは、TDV Serverは、いずれかのディレクトリドメインで使用される場合、大文字と小文字が区別されますが、ldap.propertiesで変更できます。
例
LDAP認証で大文字と小文字を区別しないユーザー名を有効にします。 LDAP認証に使用されるデフォルトの大文字と小文字を区別するモードを無効にするにはどうすればよいですか?
解決策の例:
<PREFIX>.user.username.comparison.is.case.sensitive=false
LDAPユーザー名の比較で大文字と小文字が区別されない場合、ユーザー「cn=sam、ou=users、dc=domain、dc=com」は、ユーザー名samまたはSAMでTDVLDAPドメインにログインできます。 TDVツールへのログインに使用されるユーザー名のすべてのバリエーションは、LDAPサーバーに格納されている実際のユーザー名にマップされます。
注:大文字と小文字を区別するモードを無効にし、同じ名前の複数のユーザーがいる場合(ただし、大文字と小文字が異なる場合)、そのユーザー名のログインは無効になります。検索コンテキストによってユーザーを区別できます。たとえば、Active Directoryでは、ユーザーオブジェクトのsamaccountname属性はLDAPサーバーでグローバルに一意ですが、cn(共通名)は一意ではありません。
すべてのユーザーを取得
ルートノードから検索を開始してすべてのユーザーを取得するには、検索コンテキストで空白(null)の値を使用します。
<PREFIX>.all.users.search.context=
オブジェクトクラスフィルターに一致するグループを見つけるには、以下を使用します。
<PREFIX>.all.users.filter=(&(objectclass=person))
ユーザーオブジェクト名属性からユーザー名を取得するには以下のとおりです。
<PREFIX>.all.users.username.attribute=uid
タイムアウトなしで検索を実行するには以下のとおりです。
<PREFIX>.all.users.search.timeout=0
コンテナou=peopleの下にすべてのユーザーを取得
この検索コンテキストは、コンテナou=peopleの下のグループのみを検索します。
<PREFIX>.all.groups.search.context=ou=people
この検索では、オブジェクトクラスフィルターに一致するグループのみが検索されます。
<PREFIX>.all.groups.filter=(&(objectclass=person))
この検索では、このグループオブジェクト名属性からグループ名を取得します。
<PREFIX>.all.groups.groupname.attribute=cn
タイムアウト(無限検索タイムアウト)のない検索を指定するには以下のとおりです。
<PREFIX>.all.groups.search.timeout=0
すべてのグループを取得
null値(空白)を使用すると、ルートノードから検索が開始され、すべてのグループが取得されます。
<PREFIX>.all.groups.search.context=
オブジェクトクラスフィルターに一致するグループのみを検索するには、次の手順に従います。
<PREFIX>.all.groups.filter=(&(objectclass=groupofuniquenames))
このグループオブジェクト名属性内のグループ名を取得するには、次のようにします。
<PREFIX>.all.groups.groupname.attribute=cn
タイムアウト(無限検索タイムアウト)のない検索を指定するには以下のとおりです。
<PREFIX>.all.groups.search.timeout=0
コンテナou=groupsの下のすべてのグループを取得
この検索コンテキストは、コンテナou=groupsの下のグループのみを検索します。
<PREFIX>.all.groups.search.context=ou=groups
オブジェクトクラスフィルターに一致するグループのみを検索するには以下のとおりです。
<PREFIX>.all.groups.filter=(&(objectclass=groupofuniquenames))
このグループオブジェクト名属性からグループ名を取得するには、次のようにします。
<PREFIX>.all.groups.groupname.attribute=cn
タイムアウト(無限検索タイムアウト)のない検索を指定するには以下のとおりです。
<PREFIX>.all.groups.search.timeout=0
ディレクトリユーザー認証
ディレクトリサーバーに依存するTDVLDAPユーザー認証では、TDVインターフェイスを介したユーザー認証を成功させる前に構成が必要です。
•LDAPサーバーを使用できるように構成する必要があります。
•LDAPドメインは、Managerコンソールで使用できるように構成する必要があります。
•指定されたドメイン内の特定のディレクトリグループは、TDVで定義されたリソースを使用することを許可されている必要があります。
注: TDVで承認されたLDAPグループのすべてのメンバーには、すべてのグループに付与された基本的な特権セットがあります。その他のリソース権限とTDV権限は、LDAPグループまたは個々のユーザーに明示的に割り当てる必要があります。
•指定されたドメインおよび許可されたグループのメンバーであるユーザーのみが、TDVリソースを使用して適切に認証できます。
LDAPサーバーに対して認証を試みるすべてのLDAPユーザーは、以下の両方の設定で同じユーザー名属性値を使用する必要があります。
<PREFIX>.user.filter=(&(uid=USERNAME)(objectclass=person))
<PREFIX>.user.username.attribute=uid