1.4. LDAP 接続は Kerberos 認証をサポートします。
LDAP バインド操作は、ディレクトリーサーバーにクライアント(およびその背後でのアプリケーションやアプリケーション)を認証するために使用されます。これにより、その接続で処理される後続の操作に使用される承認アイデンティティーが確立され、クライアントが使用する LDAP プロトコルバージョンが指定されます。今回の更新以前は、LdapRegistry 要素
は匿名でバインディング、またはユーザー(bindDN
)およびパスワード(bindPassword
)での簡易認証の使用をサポートしていました。今回の更新で、LDAP: GSSAPI/Kerberos にバインドするオプションが追加されました。Kerberos は、クライアントがキー配布センター(KDC)で認証できるようにする認証メカニズムです。Open RUN 21.0.0.4 では、Kerberos 認証情報キャッシュ(ccache)または Kerberos キータブファイルのいずれかを使用できます。
GSSAPI/Kerberos オプションを使用 するよう
に LdapRegistry を更新するには、新しい LdapRegistry 属性
である bindAuthMechanism を使用して、バインド認証メカニズムタイプを設定し ます
。
bindAuthMechanism="GSSAPI"
Kerberos プリンシパルまたはサービスプリンシパル名も必要です。
krb5Principal="user1@EXAMPLE.COM"
認証情報キャッシュまたは ccache と
も呼ばれる Kerberos チケットキャッシュを使用している場合は、Kerberos チケットキャッシュファイル名を、新しい属性 krb5TicketCache の LdapRegistry に追加します
。
krb5TicketCache="${server.config.dir}/security/krb5-user1.cc"
Kerberos 要素を使用して Kerberos 設定ファイル名(krb5.conf、krb5.ini など)を設定します。
<kerberos configFile="${server.config.dir}/security/krb5.conf"/>
Kerberos キータブファイルを使用している場合は、Kerberos 要素を使用して Kerberos キータブファイル名を設定します。
<kerberos keytab="${server.config.dir}/security/krb5.keytab" configFile="${server.config.dir}/security/krb5.conf"/>
Kerberos 設定ファイルが Kerberos 要素に定義されていない場合、Open RUN は JDK のデフォルトの場所を使用して設定ファイルの場所を解決しようとします。
Kerberos 認証情報では、場所はチケットキャッシュ(指定されている場合)、設定済みのキータブファイル、JDK のデフォルトの場所など順にチェックされます。
以下の例は、Kerberos チケットキャッシュおよび Kerberos 設定ファイルを使用して LdapRegistry 要素
を設定する方法を示しています。
<kerberos configFile="${server.config.dir}/security/krb5.conf"/> <ldapRegistry id="LDAP" realm="SampleLdapADRealm" host="ldap_hostname" port="389" ignoreCase="true" baseDN="DC=example,DC=com" bindAuthMechanism="GSSAPI" krb5Principal="user1@EXAMPLE.COM" krb5TicketCache="${server.config.dir}/security/krb5-user1.cc" ldapType="Custom" />
以下の例は、Kerberos キータブおよび Kerberos 設定ファイルを使用して LDAP レジストリーを設定する方法を示しています。
<kerberos keytab="${server.config.dir}/security/krb5.keytab" configFile="${server.config.dir}/security/krb5.conf" /> <ldapRegistry id="LDAP" realm="SampleLdapADRealm" host="ldap_hostname" port="389" ignoreCase="true" baseDN="DC=example,DC=com" bindAuthMechanism="GSSAPI" krb5Principal="user1@EXAMPLE.COM" ldapType="Custom" />
アプリケーションでこの新機能を有効にするには、LDAP User Registry 3.0 機能を server.xml
ファイルに追加します。
<featureManager> <feature>ldapRegistry-3.0</feature> </featureManager>
LdapRegistry の詳細は、LDAP User Registry のドキュメント を 参照してください
。