Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
4.5. AdvancedLdap ログインモジュール
短縮名: AdvancedLdap
フルネーム: org.jboss.security.negotiation.AdvancedLdapLoginModule
AdvancedLdap ログインモジュールは、SASL や JAAS セキュリティードメインの使用などの追加機能を提供するモジュールです。ユーザーが LDAP を SPNEGO 認証で使用する場合や、LDAP サーバーを使用中に認証フェーズの一部を省略したい場合は、SPNEGO ログインモジュールとチェーンされた AdvancedLdap ログインモジュールの使用を検討してください。または AdvancedLdap ログインモジュールのみの使用を検討してください。
AdvancedLdap ログインモジュールは、以下の点で LdapExtended ログインモジュールとは異なります。
- トップレベルのロールは roleAttributeID のみに対してクエリーされ、roleNameAttributeID にはクエリーされません。
- roleAttributeIsDN モジュールプロパティーが false に設定されている場合、recurseRoles モジュールオプションが true に設定されていても、再帰ロール検索は無効になります。
表4.4 AdvancedLdap ログインモジュールオプション
| オプション | Type | デフォルト | 説明 |
|---|---|---|---|
| bindDN | 完全修飾 DN | none | ユーザーおよびロールクエリーの LDAP サーバーに対してバインドするために使用される DN です。この DN には、baseCtxDN および rolesCtxDN 値の読み取りおよび検索パーミッションが必要です。 |
| bindCredential | 文字列 (オプションで暗号化) | none | DN の認証情報を保存するために使用されます。 |
| jaasSecurityDomain | String | none | パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。 |
| java.naming.provider.url | String | java.naming.security.protocol の値が SSL の場合、ldap://localhost:686, otherwise ldap://localhost:389 | ディレクトリーサーバーの URI。 |
| baseCtxDN | 完全修飾 DN | none | 検索のベースとして使用する識別名。 |
| baseFilter | LDAP 検索フィルターを表す文字列。 | none | 検索結果を絞り込むために使用するフィルター。 |
| searchTimeLimit | integer | 10000 (10 秒) | ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| roleAttributeID | LDAP 属性を表す文字列値。 | none | 承認ロールの名前が含まれる LDAP 属性です。 |
| roleAttributeIsDN | true または false | false | ロール属性が識別名 (DN) であるかどうか。 |
| rolesCtxDN | 完全修飾 DN | none | ユーザーロールを検索するコンテキストの完全修飾 DN。 |
| roleFilter | LDAP フィルター文字列。 | none | 認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。 |
| recurseRoles | true または false | false | ロールの roleAttributeID を再帰的に検索するかどうか。 |
| roleNameAttributeID | LDAP 属性を表す文字列。 | none | 実際の role 属性が含まれる roleAttributeID 内に含まれる属性です。 |
| referralUserAttributeIDToCheck | attribute | none | 紹介を使用しない場合、このオプションは無視することができます。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていない場合、チェックは常に失敗するため、ロールオブジェクトは参照ツリーに格納できません。 |
| searchScope | OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか | SUBTREE_SCOPE | 使用する検索範囲。 |
| allowEmptyPassword | true または false | false | 空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。 |
| bindAuthentication | 文字列 | システムプロパティー java.naming.security.authentication が設定されている場合、この値はその値を使用し、それ以外の場合は、デフォルトで simple に設定されます。 | ディレクトリーサーバーへのバインドに使用する SASL 認証のタイプ。 |
LDAP サーバーへの接続と初期コンテキストの作成に関連する追加の LDAP コンテキストプロパティーは、ここで 詳しく説明します。