Introscope のセキュリティ保護 › LDAP による Introscope のセキュリティ保護 › realms.xml での LDAP による認証の構成

realms.xml での LDAP による認証の構成

このトピックでは、認証方式として LDAP を構成する方法について説明します。

注： <EM_Home>/examples/authentication ディレクトリにあるサンプル構成ファイル realms.ldap.xml を利用できます。

realms.xml を構成するときは、以下のルールに従います。

重要： Enterprise Manager が起動するには、以下のルールすべてを満たす必要があります。

• descriptor= の値は大文字と小文字が区別されます。
  • たとえば、descriptor=LDAP Realm と descriptor=ldap realm とは異なります。
• LDAP 領域の場合、descriptor= の値は LDAP Realm である必要があります。
• 複数の領域がある場合、領域タグ内の id= の値は領域ごとに一意である必要があります。 例：

  <realm descriptor="LDAP Realm" id="LDAP" active="true">
  

以下の手順に従います。

1. <EM_Home>/config ディレクトリの realms.xml ファイルを開きます。
2. 認証方式として LDAP が構成されるように、以下のプロパティを設定します。

   LDAP による認証の場合、Introscope ユーザは、正しいユーザ ID を入力すれば、空のパスワードを使用しても Workstation にログインできます。 LDAP による認証では、パスワードが入力されていないことや、パスワード フィールドが無効であることがチェックされないので、ユーザは正常にログインできてしまいます。 この LDAP の認証動作は、Workstation クライアントまたは WebView にログインする場合も同様です。 セキュリティを確実に適用するために、disallowEmptyPassword プロパティを設定します。

   注： LDAP サーバは、各サイトで構成が異なります。 LDAP プロパティを構成するには、LDAP 管理者から LDAP 構成情報をあらかじめ入手しておきます。

   url

   リモート LDAP サーバの URL。

   非 SSL 接続のデフォルト ポートは 389 です。SSL 接続のデフォルト ポートは 636 です。

   SSL を使用する場合は、SSL 用 LDAP ポートをサーバ URL に含める必要があります。

   たとえば、ldap://host:port となります。

   useSSL

   リモート LDAP サーバに接続するために SSL を使用するかどうか。

   オプション： true、false

   bindName

   LDAP コンピュータにバインドするために使用する名前。 未指定の場合、匿名バインドが使用されます。

   たとえば、IntroscopeLDAPUser となります。

   bindPassword

   LDAP コンピュータにバインドするために使用するパスワード。

   このプロパティはオプションです。

   bindName フィールドが空白の場合（匿名バインドを使用）、bindPassword プロパティは無視されます。

   plainTextPasswords

   bindPassword がプレーン テキストであるか、暗号化されているかを示します。 このプロパティはオプションです。

   このプロパティがない場合または True に設定されている場合、Enterprise Manager は bindPassword プロパティがプレーン テキストであると見なします。

   デフォルトでは、この値は True に設定されます。つまり、パスワードはプレーン テキストであると見なされます。

   Enterprise Manager は、realms.xml ファイルを読み取り、この値が True に設定されていることを認識すると、以下のアクションを実行します。

   • bindPassword プロパティのプレーン テキスト パスワードを暗号化します。
   • 暗号化したパスワードを使用して realms.xml を書き直します。
   • realms.xml の plainTextPasswords プロパティを False に設定します。

     値が False に設定されている場合、パスワードは暗号化されています。

重要： Enterprise Manager が起動するには、realms.xml ファイルにこのプロパティが含まれている必要があります。

bindAuthentication

バインド時に使用する認証の種類。

オプション： none、simple、DIGEST-MD5

baseDN

すべてのユーザ オブジェクト クエリのベース識別名（DN）

オプション： cn=Users、dc=dev、dc=com

scopeDepth

ユーザ オブジェクトのクエリを実行するときの検索の深さ。

usernameAttribute

Introscope ユーザ名に一致する LDAP 属性の名前。

たとえば、userPrincipalName となります。

userObjectQuery

ユーザ オブジェクトのクエリに使用する LDAP 検索フィルタ。 トークン「%u」は、クエリが実行される前に Introscope ユーザ名で置き換えられます。

たとえば、(&(userPrincipalName=%u)(objectclass=user)) となります。

serverCertificate

証明書ファイルの名前。 サポートされる証明書は、仕様が X.509 でエンコード方式が BASE64 の証明書です。

指定しない場合、JVM のデフォルト認証局の証明書が使用されます（http://java.sun.com/j2se/1.5/docs/index.html を参照）。

groupNameAttribute

Introscope ユーザ名と一致するグループ属性の名前。

たとえば、cn となります。

groupObjectQuery

グループ オブジェクトのクエリに使用する LDAP 検索フィルタ。 トークン「%u」は、クエリが実行される前に Introscope グループ名で置き換えられます。

たとえば、(&(objectClass=group)(cn={0})) となります。

groupMemberQuery

グループ メンバのクエリに使用する LDAP 検索フィルタ。 トークン「%u」は、クエリが実行される前に Introscope グループ メンバで置き換えられます。

たとえば、(&(objectClass=group)(member={0})) となります。

disallowEmptyPassword

ユーザが空のパスワードでログインできないことを要求します。

disableNestedGroupSearch

LDAP 認証中に、ユーザが属するグループ内のネストしたグループに対して、LDAP 再帰検索を無効にします。 true に設定すると、LDAP 認証のパフォーマンスを向上させることができます。

このプロパティはオプションです。

オプション： true、false デフォルトは false です。

1. 変更を適用するために、realms.xml ファイルへの変更内容を保存し、Enterprise Manager を再起動します。

注： 以下の条件に該当する場合、アップグレード後の手動タスクとして絶対パスを更新します。

• アップグレード時に Introscope ディレクトリの名前を変更した場合。
• プロパティ ファイルで Introscope のディレクトリ内のファイルの参照に絶対パスを使用している場合。

この状況を避けるには、Introscope ルート ディレクトリ内部のファイルの参照に相対パスを使用します。