Red Hat Training
A Red Hat training course is available for Red Hat JBoss Enterprise Application Platform
4.3. Ldap ログインモジュール
短縮名: Ldap
フルネーム: org.jboss.security.auth.spi.LdapLoginModule
親: UsernamePasswordLoginModule
Ldap ログインモジュールは、LDAP サーバーに対して認証を行うログインモジュール実装です。security サブシステムは接続情報 java.naming.security.principal を使用して、LDAP サーバーに接続します。この bindDN は、JNDI 初期コンテキストを使用した場合にユーザーおよびロールの baseCtxDN および rolesCtxDN ツリーを検索する権限があります。ユーザーが認証を試みると、LDAP ログインモジュールは LDAP サーバーへ接続し、ユーザーのクレデンシャルを LDAP サーバーに渡します。認証に成功すると、JBoss EAP 内のそのユーザーに InitialLDAPContext が作成され、ユーザーのロールが入力されます。
表4.2 LDAP ログインモジュールオプション
| オプション | Type | デフォルト | 説明 |
|---|---|---|---|
| principalDNPrefix | 文字列 | ユーザー DN を形成するためにユーザー名に追加される接頭辞。ユーザーにユーザー名を要求し、principalDNPrefix および principalDNSuffix を使用して完全修飾 DN をビルドできます。 | |
| principalDNSuffix | 文字列 | ユーザー DN を形成するためにユーザー名に追加される接尾辞。ユーザーにユーザー名を要求し、principalDNPrefix および principalDNSuffix を使用して完全修飾 DN をビルドできます。 | |
| rolesCtxDN | 完全修飾 DN | none | ユーザーロールを検索するコンテキストの完全修飾 DN。 |
| userRolesCtxDNAttributeName | attribute | none | ユーザーロールを検索するコンテキストの DN を含むユーザーオブジェクトの属性です。これは、ユーザーのロールを検索するコンテキストがユーザーごとに一意である可能性がある点で rolesCtxDN とは異なります。 |
| roleAttributeID | attribute | roles | ユーザーロールを含む属性の名前。 |
| roleAttributeIsDN | true または false | false | roleAttributeID にロールオブジェクトの完全修飾 DN が含まれるかどうか。false の場合は、コンテキスト名の roleNameAttributeId 属性の値からこのロール名が取得されます。Microsoft Active Directory などの特定のディレクトリースキーマでは、この属性を true に設定する必要があります。 |
| roleNameAttributeID | attribute | name | ロール名を含む roleCtxDN コンテキスト内の属性の名前。roleAttributeIsDN プロパティーを true に設定すると、このプロパティーはロールオブジェクトの名前属性の検索に使用されます。 |
| uidAttributeID | attribute | uid | ユーザー ID に対応する UserRolesAttributeDN の属性名。これは、ユーザーロールの特定に使用されます。 |
| matchOnUserDN | true または false | false | ユーザーの完全識別名またはユーザー名のみで、ユーザーロールの検索と一致するかどうか。True の場合、完全なユーザー DN が一致値として使用されます。False の場合、ユーザー名のみが uidAttributeName 属性に対する一致値として使用されます。 |
| allowEmptyPasswords | true または false | false | 空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。 |
| searchTimeLimit | integer | 10000 (10 秒) | ユーザーまたはロールの検索のタイムアウト (ミリ秒単位)。 |
| searchScope | OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE のいずれか | SUBTREE_SCOPE | 使用する検索範囲。 |
| jaasSecurityDomain | String | none | java.naming.security.credentials を復号化するために使用される JaasSecurityDomain の JMX ObjectName。暗号化されたパスワードの形式は、このオプションで渡されたオブジェクトで呼び出される encrypt64(byte[]) メソッドによって返されます。 |
LDAP サーバーへの接続と初期コンテキストの作成に関連する追加の LDAP コンテキストプロパティーは、ここで 詳しく説明します。
このログインモジュールは親 UsernamePasswordLoginModule から ignorePasswordCase オプションを継承しますが、特定のログインモジュールでは使用されません。