クエリの例
このセクションでは、ディレクトリ LDAP サーバーのクエリの例を示します。Active Directory LDAP サーバーの構成は、オブジェクトクラスの値、検索コンテキスト、およびユーザーまたはグループの属性値が異なる場合があることを除いて、同様です。
<PREFIX> = { activedirectory }
| • | グループ フィルターを使用して特定のグループを検索する |
| • | 複数の場所を指定してユーザーまたはグループを検索する |
| • | LDAP 認証の大文字と小文字の区別の無効化 |
| • | すべてのユーザーを取得 |
| • | コンテナ ou=people の下にいるすべてのユーザーの取得 |
| • | すべてのグループを取得 |
| • | コンテナ ou=groups 下の全グループの取得 |
グループ フィルターを使用して特定のグループを検索する
すべてのグループ フィルターは、上記の「検索フィルター構文」領域で説明した検索フィルター構文を使用できます。
例
名前に接頭辞「cs_」が含まれるすべてのグループを検索します。ここで、「Y」はドメイン タイプのグループ オブジェクトクラスであり、「Z」はグループ名属性です。
解決策の例:
<PREFIX>.all.groups.filter= (& (objectclass=Y) (Z=cs_*) )
注:この方法は、特定のユーザーを見つけるためにも使用できます。
複数の場所を指定してユーザーまたはグループを検索する
すべての検索コンテキスト属性は、複数の検索コンテキストでの LDAP オブジェクトの検索をサポートできます。「|」文字を使用して、複数の検索コンテキストを区切ります。
<PREFIX>.*.search.context=CONTEXT_1|CONTEXT_2|...|CONTEXT_N
例
<PREFIX>.all.groups.search.context=cn=users|cn=users2
この例は、cn=users および cn=users2 検索コンテキストのグループ用です。
LDAP 認証の大文字と小文字の区別の無効化
デフォルトでは、TDV Server は、いずれかのディレクトリ ドメインで使用される場合、大文字と小文字が区別されますが、ldap.properties で変更できます。
例
LDAP 認証で大文字と小文字を区別しないユーザー名を有効にします。LDAP 認証に使用されるデフォルトの大文字と小文字を区別するモードを無効にするにはどうすればよいですか?
解決策の例:
<PREFIX>.user.username.comparison.is.case.sensitive=false
LDAP ユーザー名の比較で大文字と小文字が区別されない場合、ユーザー「cn=sam、ou=users、dc=domain、dc=com」は、ユーザー名 sam または SAM で TDVLDAP ドメインにログインできます。TDV ツールへのログインに使用されるユーザー名のすべてのバリエーションは、LDAP サーバーに格納されている実際のユーザー名にマップされます。
注:大文字と小文字を区別するモードを無効にし、同じ名前の複数のユーザーがいる場合 (ただし、大文字と小文字が異なる場合)、そのユーザー名のログインは無効になります。検索コンテキストによってユーザーを区別できます。たとえば、Active Directory では、ユーザー オブジェクトの samaccountname 属性は LDAP サーバーでグローバルに一意ですが、cn (共通名) は一意ではありません。
すべてのユーザーを取得
ルート ノードから検索を開始してすべてのユーザーを取得するには、検索コンテキストで空白 (null) の値を使用します。
<PREFIX>.all.users.search.context=
オブジェクトクラス フィルターに一致するグループを見つけるには、以下を使用します。
<PREFIX>.all.users.filter= (& (objectclass=person) )
ユーザー オブジェクト名属性からユーザー名を取得するには以下のとおりです。
<PREFIX>.all.users.username.attribute=uid
タイムアウトなしで検索を実行するには以下のとおりです。
<PREFIX>.all.users.search.timeout=0
コンテナ ou=people の下にいるすべてのユーザーの取得
この検索コンテキストは、コンテナ ou=people の下のグループのみを検索します。
<PREFIX>.all.groups.search.context=ou=people
この検索では、オブジェクトクラス フィルターに一致するグループのみが検索されます。
<PREFIX>.all.groups.filter= (& (objectclass=person) )
この検索では、このグループ オブジェクト名属性からグループ名を取得します。
<PREFIX>.all.groups.groupname.attribute=cn
タイムアウト (無限検索タイムアウト) のない検索を指定するには以下のとおりです。
<PREFIX>.all.groups.search.timeout=0
すべてのグループを取得
null 値 (空白) を使用すると、ルート ノードから検索が開始され、すべてのグループが取得されます。
<PREFIX>.all.groups.search.context=
オブジェクトクラス フィルターに一致するグループのみを検索するには、次の手順に従います。
<PREFIX>.all.groups.filter= (& (objectclass=groupofuniquenames) )
このグループ オブジェクト名属性内のグループ名を取得するには、次のようにします。
<PREFIX>.all.groups.groupname.attribute=cn
タイムアウト (無限検索タイムアウト) のない検索を指定するには以下のとおりです。
<PREFIX>.all.groups.search.timeout=0
コンテナ ou=groups 下の全グループの取得
この検索コンテキストは、コンテナ ou=groups の下のグループのみを検索します。
<PREFIX>.all.groups.search.context=ou=groups
オブジェクトクラス フィルターに一致するグループのみを検索するには以下のとおりです。
<PREFIX>.all.groups.filter= (& (objectclass=groupofuniquenames) )
このグループ オブジェクト名属性からグループ名を取得するには、次のようにします。
<PREFIX>.all.groups.groupname.attribute=cn
タイムアウト (無限検索タイムアウト) のない検索を指定するには以下のとおりです。
<PREFIX>.all.groups.search.timeout=0
ディレクトリ ユーザー認証
ディレクトリ サーバーに依存する TDVLDAP ユーザー認証では、TDV インターフェイスを介したユーザー認証を成功させる前に構成が必要です。
| • | LDAP サーバーを使用するには、構成する必要があります。 |
| • | マネージャー コンソールで使用するには、LDAP ドメインを構成する必要があります。 |
| • | 指定されたドメイン内の特定のディレクトリ グループは、TDV で定義されたリソースを使用するために承認される必要があります。 |
注: TDV で承認された LDAP グループのすべてのメンバーには、すべてのグループに付与された基本的な権限セットがあります。その他のリソース権限と TDV 権限は、LDAP グループまたは個々のユーザーに明示的に割り当てる必要があります。
| • | 指定されたドメインおよび承認されたグループのメンバーであるユーザーのみが、TDV リソースを使用して適切に認証できます。 |
LDAP サーバーに対して認証を試みるすべての LDAP ユーザーは、以下の両方の設定で同じユーザー名属性値を使用する必要があります。
<PREFIX>.user.filter= (& (uid=USERNAME) (objectclass=person) )
<PREFIX>.user.username.attribute=uid