4.5. AdvancedLdap ログインモジュール
短縮名: AdvancedLdap
フルネーム: org.jboss.security.negotiation.AdvancedLdapLoginModule
AdvancedLdap
ログインモジュールは、SASL や JAAS セキュリティードメインの使用などの追加機能を提供するモジュールです。ユーザーが LDAP を SPNEGO 認証で使用する場合や、LDAP サーバーを使用中に認証フェーズの一部を省略したい場合は、SPNEGO ログインモジュールとチェーンされた AdvancedLdap
ログインモジュールの使用を検討してください。または AdvancedLdap
ログインモジュールのみの使用を検討してください。
AdvancedLdap
ログインモジュールは、以下の点で LdapExtended
ログインモジュールとは異なります。
-
トップレベルのロールは
roleAttributeID
のみに対してクエリーされ、roleNameAttributeID
にはクエリーされません。 -
roleAttributeIsDN
モジュールプロパティーがfalse
に設定されている場合、recurseRoles
モジュールオプションがtrue
に設定されていても、再帰ロール検索は無効になります。
表4.4 AdvancedLdap ログインモジュールオプション
オプション | タイプ | デフォルト | 説明 |
---|---|---|---|
bindDN | 完全修飾 DN | none |
ユーザーおよびロールクエリーの LDAP サーバーに対してバインドするために使用される DN です。この DN には、 |
bindCredential | 文字列 (オプションで暗号化) | none | DN の認証情報を保存するために使用されます。 |
jaasSecurityDomain | String | none |
パスワードの復号に使用する |
java.naming.provider.url | String |
| ディレクトリーサーバーの URI。 |
baseCtxDN | 完全修飾 DN | none | 検索のベースとして使用する識別名。 |
baseFilter | LDAP 検索フィルターを表す文字列。 | none | 検索結果を絞り込むために使用するフィルター。 |
searchTimeLimit | Integer | 10000、10 秒 | ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。 |
roleAttributeID | LDAP 属性を表す文字列値。 | none | 承認ロールの名前が含まれる LDAP 属性です。 |
roleAttributeIsDN | true または false | false | Role 属性が識別名であるかどうか (DN)。 |
rolesCtxDN | 完全修飾 DN | none | ユーザーロールを検索するコンテキストの完全修飾 DN です。 |
roleFilter | LDAP フィルター文字列。 | none |
認証されたユーザーに関連付けられたロールを見つけるために使用される検索フィルター。ログインモジュールコールバックから取得した入力ユーザー名または UserDN は、 |
recurseRoles | true または false | false |
ロールの |
roleNameAttributeID | LDAP 属性を表す文字列。 | none |
実際の role 属性が含まれる |
referralUserAttributeIDToCheck | attribute | none |
紹介を使用しない場合、このオプションは無視することができます。紹介を使用する場合、このオプションは、ロールオブジェクトが参照内に含まれている場合に、特定のロールで定義されているユーザー ( |
searchScope |
|
| 使用する検索結果を指定します。 |
allowEmptyPassword | true または false | false | 空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。 |
bindAuthentication | String |
システムプロパティー | ディレクトリーサーバーへのバインドに使用する SASL 認証のタイプ。 |
LDAP サーバーへの接続および初期コンテキストの作成に関連するその他の LDAP コンテキストプロパティーの詳細は、LDAP 接続オプション を参照してください。
リファレンスを作成するために crossRef オブジェクトとともに Microsoft Active Directory
を使用している場合、LDAP ログインモジュールは baseCtxDN
に単一の値のみを使用し 、rolesCtxDN
には単一の値のみを使用することに注意してください。このため、LDAP の紹介を使用する可能性に対応するために、初期ユーザーとロールを単一の Microsoft Active Directory ドメインに格納する必要があります。