Title: LDAP 設定

LDAP設定画面の詳細



新しいジャーナル



新規ジャーナル作成時にLDAPの設定画面を開くには、ジャーナルセットアップ画面で、「ユーザーディレクトリ」の [新規] ボタンをクリックします。

新規ボタン

既存のジャーナル



既存のジャーナルでLDAP設定画面を開くには、次のようにします。

1. サーバーセットアップ | 一般 タブ | 現在のジャーナル タブ の [ユーザーディレクトリの変更] ボタンをクリックして「ユーザーディレクトリの選択画面」を表示する。

ユーザーディレクトリの変更ボタン

2. [新規] ボタンをクリックし、「ユーザーディレクトリの設定」画面を表示する。

新規ボタンをクリック

LDAP テンプレートの選択



ファイルの選択」ドロップダウンメニューから [LDAP ディレクトリ サーバー] を選択します。

LDAPを選択

LDAP サーバーの設定画面に切り替わります。

概説



上記ドロップダウンメニューから選択されたものは、ユーザーディレクトリのテンプレートです。サーバーURLを記入し(後述)、設定を保存すると、修正、削除、テスト、使用可能なプロファイルになります。

テンプレートのファイル名は、画面表題の下に表示されます。

テンプレート名

変更した設定は何度でも保存できます。[保存] ボタンは画面の最下部にあります。設定名は自由につけることができます。設定に何か変更を加えると、この [保存] ボタンをクリックできるようになります。

プロフィール名を記入して保存

プロファイルを保存すると画面のタイトルにプロファイル名が反映され、画面上部のプルダウンメニューから選択できるようになります。

プロフィールの選択

プロファイルの保存ファイル名は、画面左上のプロファイル名下部に表示されます。
(例 : /config/user/directories/ldap001.properties)

説明



「説明」欄には、必要に応じて、プロファイルの説明や注意書きなどを記入します。

説明欄

一般



ビジターのログインを許可



この設定の初期値は「いいえ」です。「いいえ」の場合、TeamPageのACLの設定に関わらず、ビジターは一切ログインできません。

ビジターを許可

LDAPサーバー



サーバーURL



LDAPサーバーのURLには、ルックアップに必要なDN情報を含めて記入します。

LDAPサーバーURL

TeamPageは通常のLDAPと暗号化されたLDAPSをサポートしています。更に、デフォルトとは違うポート番号を指定することもできます。

IPアドレス(とポート番号)に続けて、LDAPサーバーで検索を行うツリーの位置を指定します。

重要:LDAPSを使う場合、LDAPサーバーがLDAPSで動作するように設定されていなければなりません。LDAPS についての詳細は、LDAPS 設定 を参照してください。



LDAP 認証



TeamPageがLDAPサーバーに接続してどのように認証を行うかを設定します。

認証の設定

[なし] が選択されたとき、TeamPageはLDAPサーバーに対してAnonymous接続(匿名接続)を試みます。しかし、多くのLDAPサーバーでは匿名接続は許可されておらず、認証が必要です。 認証が必要なLDAPサーバーに接続する場合は、[簡易認証] を選択し、アカウント情報やパスワードを入力してください。

注意:アカウント情報は、上図のように、ドメイン名(DN名)で記述する必要があります。

メモ:ここに記入されたパスワードは秘密鍵を使って暗号化されTeamPageの設定ファイルに保存されます。

重要!! 可能であればLDAPのパスワードの有効期間は「なし」にしてください。有効期間が過ぎると、LDAPで認証が許可されなくなるため、すべてのユーザーがTeamPageにログインできなくなります。もし、有効期間を「なし」にできない 場合は、有効期間が過ぎる前に上図のパスワードの更新を行うようにしてください。

詳細



ログイン方法



ログイン方法の選択

[Cookies] は、Webブラウザに保存される、クッキーによるログイン管理を有効にします。TeamPageにログインするユーザーは、ログイン画面の [ログアウトするまでパスワードを保存する] チェックのオン/オフで、クッキーの有効期間を選択できます。チェックがオンのとき、クッキーの有効期間は永続的なもの(5年間)になります。チェックが オフのときは、ブラウザを閉じるまでの一時的なセッションクッキーとなります。

また、TeamPageの管理者は、サーバーセットアップ | 一般 タブ | ログイン設定 タブ の [ログアウトするまでのパスワードを保存する] チェックボックスの表示」にて、このチェック項目をログイン画面に表示するかどうかを選択することができます。

[Realms] を選択したとき、パスワードはセキュリティ性を考慮してUuencodeで送信されます。[Cookies] の場合はBase64形式で符号化されます。このような理由により、[Realms] または [Cookies] を選択する場合には、HTTPではなくHTTPSでの運用を推奨します。

[X.509 Client Certificates] を選択すると、HTTPS でクライアント認証が有効で、LDAP に保存されたクライアント認証が一致した場合に、パスワードを入力せずに自動的にログインできるようになります。[X.509 Client Certificates] を選択した場合は、TeamPage のユーザー管理機能は使用されません。

TeamPage ユーザー管理を有効にする



LDAPサーバーに登録されておらず、TeamPageに登録されているユーザーのアカウントを使用するかどうかを規定します。この設定を [はい] にすると、例えば、社内LDAPサーバーに登録されていない社外ユーザーも、TeamPageにそのアカウントがあれば、TeamPageにログインできるようになります。

TeamPage ユーザー管理を有効にする

LDAP パスワード認証方式



TeamPage が LDAP を検索するためのパスワードの確認方式を指定します。[ユーザー] を選択した場合、TeamPageはユーザーのクレデンシャルとディレクトリを結び付けます。[アドミニストレータ] を選択した場合は、管理者としてディレクトリにアクセスしてユーザーのパスワードを確認する作業に入ります。

パスワード認証方式の選択

パスワード変更のメッセージ



パーソナルセットアップでユーザーがパスワードを変更する際に表示されるメッセージを規定します。

パスワード変更のメッセージ

LDAP スキーマ マッピング



「LDAP スキーマ マッピング」というタイトルをクリックすると、下図のような設定欄が表示されます。

LDAP スキーマ マッピング 設定欄

LDAP 検索



「LDAP 検索」というタイトルをクリックすると、下図のような設定欄が表示されます。

この設定欄では、LDAPサーバーでルックアップ(検索)を行うときに使用されるLDAPクエリを規定します。次のような場合に、これらの設定を変更する必要が生じることがあります。

1. 上記のスキーママッピングを変更した場合。この場合、LDAPサーバー内の実際の属性を含ませるために検索表現を編集しなければならないことがあります。

2. 異なる返値が欲しい場合、例えば、ユーザーIDからメールアドレスにフルネームを加えた値を得たい場合。

3. LDAPサーバー内で規定されたクラスの属性名が異なる場合。例えば、ユーザーのクラスが「Person」ではなく「Account」として規定されている場合。

下図クエリ内の {0} は、それぞれの検索実行時に適切な検索語に置き換えられます。

LDAP検索の設定

プリンシパル キャッシングの設定



TeamPageは、パフォーマンスの向上とLDAPサーバーの負荷軽減のため、プリンシパル情報をキャッシュに保存しておくことができます。

プリンシパル キャッシング



この設定が [はい] のとき、プリンシパルをキャッシュに保存する機能が有効になります。キャッシュ機能は、権限を確認する時間を短縮し、LDAPサーバーの負荷を下げ、特に大規模な使用環境においてはネットワーク負荷を軽減し、全体的なパフォーマンス向上に繋がります。

LDAPサーバーに登録されたユーザー数がとても大きい場合(一般的に、数十万以上)、TeamPageがプリンシパルをキャッシングするために大きなメモリ容量が必要になります。サーバーが十分に速く、CPUにも余裕がある場合は、この設定を [いいえ] にした方が適切な場合もあります。

プリンシパル キャッシング

キャッシュ更新時刻



キャッシュ更新時刻

ディレクトリサーバーは特定の時刻にお互いに同期します。同期した後のサーバーから情報を得て、TeamPageのキャッシュを更新することができます。ここで更新を行うローカル時刻を設定します。

キャッシュ更新の間隔



キャッシュ更新間隔

ディレクトリサーバーから情報を取得してキャッシュに収める間隔を規定します。これは自動的に行われ、キャッシュ内に保存されている情報は、新たに取得した情報に置き換えられます。したがって、キャッシュ内の情報がここで設定された更新間隔より古くなることはありません。

キャッシュの更新に必要な時間は、ディレクトリの大きさによって異なります。概して、約20秒から20分程度です。大きなディレクトリでは、更新間隔を大きくした方が適切な場合があります。

サーバーセットアップ | 一般 タブ | サーバー管理 タブの [キャッシュのクリア] ボタンをクリックすると、キャッシュの内容は初期化され、ディレクトリサーバーからの情報の再取得を行います。

設定のテスト



すべての設定を済ませたら、画面下部の [保存] ボタンをクリックして設定を保存します。そして、[テスト] ボタンをクリックして、LDAPのテスト画面を表示し、ディレクトリサーバーへの接続やユーザーのルックアップが正しく行えるかを確認します。

テスト画面を表示するボタン

ログインのテスト



ユーザーがログインできるかどうかを確認するには、ユーザー名とパスワードを記入して [ログインのテスト] ボタンをクリックします。

ユーザー名とパスワードの入力

ログインに成功すると、「ログインできました。」メッセージが表示されます。

ログインに成功

ログインに失敗すると、「ログインできませんでした。」メッセージが表示されます。ユーザー名、パスワード、LDAP設定などを確認してください。

ログインに失敗

ルックアップのテスト



ユーザーのルックアップのテストを行うには、下図の欄にユーザー名の一部(または全部)を入力し、[ルックアップのテスト] ボタンをクリックします。

ユーザー名の入力

ここでは「sa」で始まるユーザーをルックアップしています。その結果、該当するユーザー「sano」と「sasaki」が表示されました。



「アカウント名の入力欄」を空欄のままルックアップを実行すると、下図のように、ルックアップされた全ユーザーが表示されます。



アカウントの詳細を確認



表示されたアカウントの詳細情報を表示するには、一覧の中からアカウントを選択し、[詳細] リンクをクリックします。



ユーザーのプリンシパル詳細画面が表示されます。



ログインとルックアップのテスト結果に満足したら、テスト画面やLDAP設定画面を閉じてください。

ユーザーディレクトリの変更



以上で問題なければ、ユーザー認証を LDAP へ変更し、すでに TeamPage に登録されているユーザー情報を LDAP 上のユーザー情報に紐付けられます。

ユーザーディレクトリの選択

こちらの手順は別項で解説しています。 ユーザーディレクトリの変更とプリンシパルの移行 を参照してください。

トラブル・シューティング



設定やテストがうまくいかないとき、デバッグ用のログを確認して原因を調査することができます。詳しくは、LDAPS 設定 のトラブルシューティング解説や ログファイルを使ったトラブルシューティング を参照してください。



Attachments:
image003.png
image005.png
image001.png
image006.png
image004.png
image007.png
image008.png
image009.png
image010.png
image011.png
image012.png
image013.png
image014.png
image015.png
image016.png
image017.png
image018.png
image019.png
image020.png
image021.png
image022.png
image023.png
image024.png
image026.png
image027.png
image028.png
image029.png
image034.png
image030.png
image031.png
image032.png
image033.png
関連記事
参照されている (9)
FAQ2154: OpenLDAPとX.509クライアント認証でシングルサインオンするにはDocJp1735: LDAPS 設定FAQ1894: ログインページDocJp1526: 外部ディレクトリからのユーザーの追加DocJp240: 現在のジャーナルDocJp178: LDAP X.509 クライアント認証の設定DocJp173: LDAPを使用した、はじめてのログインDocJp99: ユーザーディレクトリの選択と設定DocJp68: インストール&セットアップ ガイド
Article: DocJp166 (permalink)
Date: 2009/10/08; 13時28分41秒 JST

Author Name: TeamPage サポート
Author ID: jpbo