Red Hat Training

A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform

4.5. AdvancedLdap ログインモジュール

短縮名: AdvancedLdap

フルネーム: org.jboss.security.negotiation.AdvancedLdapLoginModule

: CommonLoginModule

AdvancedLdap ログインモジュールは、SASL や JAAS セキュリティードメインの使用などの追加機能を提供するモジュールです。ユーザーが LDAP を SPNEGO 認証で使用する場合や、LDAP サーバーを使用中に認証フェーズの一部を省略したい場合は、SPNEGO ログインモジュールとチェーンされた AdvancedLdap ログインモジュールの使用を検討してください。または AdvancedLdap ログインモジュールのみの使用を検討してください。

AdvancedLdap ログインモジュールは、以下の点で LdapExtended ログインモジュールとは異なります。

  • トップレベルのロールは roleAttributeID のみに対してクエリーされ、roleNameAttributeID にはクエリーされません。
  • roleAttributeIsDN モジュールプロパティーが false に設定されている場合、recurseRoles モジュールオプションが true に設定されていても、再帰ロール検索は無効になります。

表4.4 AdvancedLdap ログインモジュールオプション

オプションTypeデフォルト説明

bindDN

完全修飾 DN

none

ユーザーおよびロールクエリーの LDAP サーバーに対してバインドするために使用される DN です。この DN には、baseCtxDN および rolesCtxDN 値の読み取りおよび検索パーミッションが必要です。

bindCredential

文字列 (オプションで暗号化)

none

DN の認証情報を保存するために使用されます。

jaasSecurityDomain

String

none

パスワードの復号に使用する JaasSecurityDomain の JMX ObjectName。

java.naming.provider.url

String

java.naming.security.protocol の値が SSL の場合、ldap://localhost:686, otherwise ldap://localhost:389

ディレクトリーサーバーの URI。

baseCtxDN

完全修飾 DN

none

検索のベースとして使用する識別名。

baseFilter

LDAP 検索フィルターを表す文字列。

none

検索結果を絞り込むために使用するフィルター。

searchTimeLimit

integer

10000 (10 秒)

ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。

roleAttributeID

LDAP 属性を表す文字列値。

none

承認ロールの名前が含まれる LDAP 属性です。

roleAttributeIsDN

true または false

false

ロール属性が識別名 (DN) であるかどうか。

rolesCtxDN

完全修飾 DN

none

ユーザーロールを検索するコンテキストの完全修飾 DN。

roleFilter

LDAP フィルター文字列。

none

認証済みユーザーと関連付けられたロールを検索するために使用される検索フィルター。{0} 式を使用しているフィルターに、入力ユーザー名、またはログインモジュールコールバックから取得した userDN が置換されます。認証済み userDN は {1} が使用されたフィルターに置き換えられます。入力ユーザー名に一致する検索フィルター例は (member={0}) です。認証済み userDN に一致する他の例は (member={1}) です。

recurseRoles

true または false

false

ロールの roleAttributeID を再帰的に検索するかどうか。

roleNameAttributeID

LDAP 属性を表す文字列。

none

実際の role 属性が含まれる roleAttributeID 内に含まれる属性です。

referralUserAttributeIDToCheck

attribute

none

紹介を使用しない場合、このオプションは無視することができます。リファーラルを使用し、ロールオブジェクトがリファーラル内部にあると、このオプションは特定のロール (例: member) に対して定義されたユーザーが含まれる属性名を示します。ユーザーはこの属性名の内容に対して確認されます。このオプションが設定されていない場合、チェックは常に失敗するため、ロールオブジェクトは参照ツリーに格納できません。

searchScope

OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか

SUBTREE_SCOPE

使用する検索範囲。

allowEmptyPassword

true または false

false

空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。

bindAuthentication

文字列

システムプロパティー java.naming.security.authentication が設定されている場合、この値はその値を使用し、それ以外の場合は、デフォルトで simple に設定されます。

ディレクトリーサーバーへのバインドに使用する SASL 認証のタイプ。

注記

LDAP サーバーへの接続と初期コンテキストの作成に関連する追加の LDAP コンテキストプロパティーは、ここで 詳しく説明します。