2.4. LDAP 認証

LDAP 認証では、ユーザーが LDAP ディレクトリ内にエントリを保持していれば SGD にログインできるようにします。

デフォルトでは、この認証メカニズムは無効になっています。

このセクションの内容は、次のとおりです。

2.4.1. LDAP 認証の動作

SGD のログイン画面で、ユーザーはユーザー名とパスワードを入力します。ユーザー名には、次のいずれかを指定できます。

  • 共通名 (Indigo Jones など)

  • ユーザー名 (indigo など)

  • 電子メールアドレス (indigo@example.com など)

SGD は、LDAP ディレクトリで、ユーザーが入力したユーザー名に一致する属性を持つ LDAP オブジェクトを検索します。デフォルトでは、SGD は次の属性を検索します。

  • cn

  • uid

  • mail

LDAP オブジェクトがない場合は、次の認証メカニズムが試されます。

LDAP オブジェクトが見つかった場合、SGD は、その LDAP オブジェクトの名前とユーザーが入力したパスワードを使用してバインドを実行します。バインドが失敗した場合は、次の認証メカニズムが試されます。

認証が成功した場合、SGD はローカルリポジトリ内でユーザープロファイルを検索します。詳細は、「ユーザー識別情報とユーザープロファイル」を参照してください。ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインすることができず、ほかの認証メカニズムが試されることはありません。ユーザープロファイルの「ログイン」属性が有効な場合、ユーザーはログインできます。

2.4.1.1. ユーザー識別情報とユーザープロファイル

ユーザー識別情報は、ユーザーの LDAP オブジェクトの DN です。SGD データストアでは、ユーザー識別情報は LDAP 名前空間内にあります。Administration Console では、テキスト「(LDAP)」はユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_service/sco/tta/ldapcache 内にあります。

SGD は、ローカルリポジトリを検索することによってユーザープロファイルを確立するため、LDAP と SGD の命名体系の違いに対応できます。SGD は、一致が見つかるまで次のものを検索します。

  • ユーザーの LDAP オブジェクトと同じ名前を持つユーザープロファイル。

    たとえば、ユーザーの LDAP オブジェクトが cn=Emma Rald,cn=Sales,dc=example,dc=com である場合、SGD はローカルリポジトリ内で dc=com/dc=example/cn=Sales/cn=Emma Rald を検索します。

  • ユーザーの LDAP オブジェクトと同じ組織単位内に存在するが、cn=LDAP Profile という名前を持つユーザープロファイル。

    たとえば、dc=com/dc=example/cn=Sales/cn=LDAP Profile です。

  • cn=LDAP Profile という名前を持つ、いずれかの親の組織単位内のユーザープロファイル。

    たとえば、dc=com/dc=example/cn=LDAP Profile です。

一致が見つからない場合は、プロファイルオブジェクト o=System Objects/cn=LDAP Profile がユーザープロファイルとして使用されます。

LDAP 認証は、Directory Services Integration とともに使用できます。LDAP ユーザーに割り当てられるアプリケーションは、ユーザープロファイルと LDAP 検索の組み合わせに基づいて決められます。アプリケーションがユーザーに割り当てられる方法の詳細は、3章ユーザーへのアプリケーションの公開を参照してください。

2.4.2. LDAP 認証の設定

LDAP 認証を設定するには、次の設定手順を実行する必要があります。

  1. LDAP 認証の準備を行います。

    LDAP ディレクトリで SGD を使用するには、追加の構成が必要になることがあります。「LDAP 認証の準備」を参照してください。

  2. LDAP 認証を有効にします。

    LDAP 認証を使用するように SGD を構成し、LDAP ディレクトリの詳細を指定します。「LDAP 認証を有効にする方法」を参照してください。

    LDAP の配備が複雑な組織では、サービスオブジェクトを使用して LDAP の設定を管理および調整します。「サービスオブジェクトの使用」を参照してください。

2.4.3. LDAP 認証の準備

LDAP 認証の準備を行うには、次の手順を実行します。

2.4.3.1. サポートされる LDAP ディレクトリ

サポートされる LDAP ディレクトリは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

2.4.3.2. LDAP 認証のネットワーク要件

LDAP 認証を有効にする前に、アレイ内のすべての SGD サーバーが、認証に使用される各 LDAP ディレクトリサーバーに接続できることを確認します。

LDAP ディレクトリサーバーへの接続に使用されるポートは、標準接続では TCP ポート 389、セキュア (ldaps://) 接続ではポート TCP 636 です。ディレクトリサーバーで別のポートが使用されている場合は、LDAP 認証を有効にするときにポートを指定します。SGD がこれらのポートを使用して LDAP 接続を確立できることを確認する必要があります。

セキュア (ldaps://) 接続を使用できるようにするには、SGD が、LDAP ディレクトリサーバーによって提供された SSL 証明書を検証できる必要があります。LDAP ディレクトリサーバーの CA 証明書を SGD CA 証明書トラストストアにインポートすることが必要になる可能性があります。サポートされる CA の確認方法および CA 証明書のインポート方法の詳細は、「CA 証明書トラストストア」を参照してください。

2.4.3.3. LDAP のバインド DN とパスワードの変更

デフォルトでは、SGD は、管理者バインド DN とユーザーバインド DN という 2 つの LDAP バインド DN を使用します。

管理者バインド DN は、LDAP 認証用に設定されたユーザー名とパスワードです。管理者バインド DN は、ディレクトリサーバーに対してクエリーを実行するためだけに使用されるため、このユーザーにはディレクトリを検索する権限が必要です。SGD で使用する特殊な LDAP ユーザーを作成することもできます。管理者バインドは匿名バインドであってもかまいません。Active Directory では、匿名バインドはサポートされません。

ユーザーバインド DN は、ユーザーのログイン時に入力されたユーザー名とパスワードです。デフォルトでは、ユーザーバインド DN は認証およびパスワード変更操作で使用されます。

ユーザーのパスワードが期限切れになると、そのユーザーは SGD にログインできず、SGD もそのユーザーにパスワードの変更を強制できません。ユーザーのパスワードが期限切れに近づいていることをユーザーに警告し、期限が切れる前にユーザーにパスワードの変更を強制するように SGD を構成できます。「パスワードの有効期限」を参照してください。SGD でこれを実行できるようにするには、次の要件が満たされている必要があります。

  • LDAP ディレクトリ上で、ユーザーとしてそのディレクトリにバインドするときに、SGD がユーザーのパスワードポリシー制御を読み取ることができる必要があります

  • Active Directory 上で、SGD がドメインコントローラの「最大パスワード経過時間」設定とユーザーの「最後に設定されたパスワード」属性を読み取ることができる必要があります

ディレクトリサーバーがこれらの要件を満たしていないときに SGD でパスワード変更を処理できるようにするには、パスワード変更操作に管理者バインド DN を使用するように SGD を構成する必要があります。「LDAP のパスワード更新モード」を参照してください。

注記

一部の LDAP ディレクトリでは、管理者バインド DN を使用して実行されたパスワード変更操作は、変更操作ではなくパスワードリセット操作として扱われます。

Oracle Directory Server Enterprise Edition では、パスワード更新に管理者バインド DN を使用するように SGD を構成した場合、SGD がパスワード変更を処理するには、次のような追加の構成が必要になることがあります。

  • グローバルパスワードポリシーまたは個別のパスワードポリシーのどちらの場合も、リセットのあとにユーザーのパスワード変更が必要というオプションを使用しないでください。このオプションを使用すると、パスワードの変更が失敗します。

  • 管理者バインド DN に管理権限が必要です。

Active Directory の場合、パスワードの有効期限 (次回のログオン時のユーザーへのパスワード変更の強制を含む) を処理できるのは、SGD サーバーと Active Directory サーバーの間にセキュア接続 (ldaps://) が存在する場合だけです。

Novell eDirectory の場合、デフォルトでは、パスワードを含むすべての単純 LDAP バインドで SSL 接続を使用する必要があります。SGD で eDirectory を使用するには、次のいずれかを行います。

  • ldaps:// の URL を使用して eDirectory へのセキュア接続を使用するように SGD を構成します。

  • eDirectory で LDAP グループオブジェクトを設定し、単純バインドに対する TLS を無効にします

2.4.3.4. Novell eDirectory に対する認証

LDAP 認証のためのユーザーログインフィルタが cn 属性に対してフィルタを適用し、この属性が eDirectory で制限された属性であるために、ユーザーが Novell eDirectory を認証できない可能性があります。

ユーザーが SGD にログインできるようにするには、次のいずれかを行います。

2.4.4. LDAP 認証を有効にする方法

  1. SGD Administration Console で、Secure Global Desktop 認証構成ウィザードを表示します。

    「グローバル設定」→「Secure Global Desktop 認証」タブに移動し、「Secure Global Desktop 認証を変更」ボタンをクリックします。

  2. 「サードパーティー/システム認証」の手順で、「システム認証」チェックボックスが選択されていることを確認します。

  3. 「システム認証 - リポジトリ」の手順で、「LDAP/Active Directory」チェックボックスを選択します。

  4. 「LDAP リポジトリの詳細」手順で、LDAP ディレクトリの詳細を設定します。

    1. 「リポジトリタイプ」で、「LDAP」オプションを選択します。

      LDAP 認証で Microsoft Active Directory サーバーを使用している場合でも、このオプションを選択してください。「Active Directory」オプションにより、Active Directory 認証が有効になります。「Active Directory 認証」を参照してください。

    2. 「URL」フィールドに、1 つ以上の LDAP ディレクトリサーバーの URL を入力します。

      たとえば、「ldap://melbourne.example.com」と入力します。

      複数の URL を入力する場合は、各 URL をセミコロン (;) で区切ります。

      複数の URL が存在する場合、SGD は、一覧表示されている順序で URL を使用します。リスト内の最初の LDAP ディレクトリサーバーを使用できない場合に、次の LDAP ディレクトリサーバーの使用が試みられます。

      LDAP ディレクトリサーバーへのセキュア接続を使用するには、ldaps:// の URL を使用します。

      これらの URL はすべて、ldap:// または ldaps:// のどちらかの同じタイプである必要があります。ldap://ldaps:// の URL を混在させて使用することはできません。

      LDAP ディレクトリが標準以外のポートを使用する場合は、そのポート番号を URL の一部として指定します (たとえば、ldap://melbourne.example.com:5678)。非標準ポートを使用しない場合、ポート番号は省略できます。

      検索ベースとして使用する DN (ldap://melbourne.example.com/dc=example,dc=com など) を指定できます。これにより、ユーザー識別情報の検索に使用する LDAP ディレクトリの一部が指定されます。

    3. 「User Name」および「Password」フィールドに LDAP ユーザーの詳細情報を入力します。

      このユーザー名は、ユーザーの DN である必要があります (たとえば、cn=sgd-user,cn=Users,dc=example,dc=com)。これは管理者バインド DN です。詳細は「LDAP のバインド DN とパスワードの変更」を参照してください。

      入力できるユーザー名とパスワードは 1 組だけであるため、このユーザーが「URL」フィールドに記載されたすべての LDAP ディレクトリサーバーを検索できる必要があります。

      ディレクトリサーバーで匿名バインドがサポートされる場合、ユーザー名とパスワードは省略できます。匿名バインドを使用するには、ユーザーデータに対して LDAP クエリーを実行できる必要があります。

      LDAP サービスオブジェクト用に構成される URL はすべて、ldap:// または ldaps:// のどちらかの同じタイプである必要があります。ldap://ldaps:// の URL を混在させて使用することはできません。

  5. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。

    「終了」をクリックすると、SGD は generated という名前のサービスオブジェクトを作成します。サービスオブジェクトは、ディレクトリサービスの設定を管理するために使用されます。詳細は、「サービスオブジェクトの使用」を参照してください。