4.5. AdvancedLdap ログインモジュール

短縮名: AdvancedLdap

フルネーム: org.jboss.security.negotiation.AdvancedLdapLoginModule

: Common Login Module

AdvancedLdap ログインモジュールは、SASL や JAAS セキュリティードメインの使用などの追加機能を提供するモジュールです。ユーザーが LDAP を SPNEGO 認証で使用する場合や、LDAP サーバーを使用中に認証フェーズの一部を省略したい場合は、SPNEGO ログインモジュールとチェーンされた AdvancedLdap ログインモジュールの使用を検討してください。または AdvancedLdap ログインモジュールのみの使用を検討してください。

AdvancedLdap ログインモジュールは、以下の点で LdapExtended ログインモジュールとは異なります。

  • トップレベルのロールは roleAttributeID のみに対してクエリーされ、roleNameAttributeID にはクエリーされません。
  • roleAttributeIsDN モジュールプロパティーが false に設定されている場合、recurseRoles モジュールオプションが true に設定されていても、再帰ロール検索は無効になります。

表4.4 AdvancedLdap ログインモジュールオプション

オプションタイプデフォルト説明

bindDN

完全修飾 DN

none

ユーザーおよびロールクエリーの LDAP サーバーに対してバインドするために使用される DN です。この DN には、baseCtxDN および rolesCtxDN 値の読み取りおよび検索パーミッションが必要です。

bindCredential

文字列 (オプションで暗号化)

none

DN の認証情報を保存するために使用されます。

jaasSecurityDomain

String

none

パスワードの復号に使用する JaasSecurityDomain の Jakarta Management ObjectName。

java.naming.provider.url

String

java.naming.security.protocol の値が SSL の場合、ldap://localhost:686, otherwise ldap://localhost:389

ディレクトリーサーバーの URI。

baseCtxDN

完全修飾 DN

none

検索のベースとして使用する識別名。

baseFilter

LDAP 検索フィルターを表す文字列。

none

検索結果を絞り込むために使用するフィルター。

searchTimeLimit

Integer

10000、10 秒

ユーザーまたはロール検索のタイムアウト (ミリ秒単位)。

roleAttributeID

LDAP 属性を表す文字列値。

none

承認ロールの名前が含まれる LDAP 属性です。

roleAttributeIsDN

true または false

false

Role 属性が識別名であるかどうか (DN)。

rolesCtxDN

完全修飾 DN

none

ユーザーロールを検索するコンテキストの完全修飾 DN です。

roleFilter

LDAP フィルター文字列。

none

認証されたユーザーに関連付けられたロールを見つけるために使用される検索フィルター。ログインモジュールコールバックから取得した入力ユーザー名または UserDN は、{0} 式が使用されるいずれの場所でもフィルターに置き換えられます。{1} が使用されると、認証された UserDN がフィルターに置き換わります。入力ユーザー名に一致する検索フィルターの例は (member={0}) です。認証された UserDN に一致する代替は (member={1}) です。

recurseRoles

true または false

false

ロールの roleAttributeID を再帰的に検索するかどうか。

roleNameAttributeID

LDAP 属性を表す文字列。

none

実際の role 属性が含まれる roleAttributeID 内に含まれる属性です。

referralUserAttributeIDToCheck

attribute

none

紹介を使用しない場合、このオプションは無視することができます。紹介を使用する場合、このオプションは、ロールオブジェクトが参照内に含まれている場合に、特定のロールで定義されているユーザー (member など) が含まれる属性名を示します。ユーザーは、この属性名のコンテンツに対してチェックされます。このオプションが設定されていない場合、チェックは常に失敗するため、ロールオブジェクトは参照ツリーに格納できません。

searchScope

OBJECT_SCOPEONELEVEL_SCOPESUBTREE_SCOPE のいずれか

SUBTREE_SCOPE

使用する検索結果を指定します。

allowEmptyPassword

true または false

false

空のパスワードを許可するかどうか。ほとんどの LDAP サーバーは、空のパスワードを匿名ログイン試行として処理します。空のパスワードを拒否するには、これを false に設定します。

bindAuthentication

String

システムプロパティー java.naming.security.authentication が設定されている場合、この値はその値を使用し、それ以外の場合は、デフォルトで simple に設定されます。

ディレクトリーサーバーへのバインドに使用する SASL 認証のタイプ。

注記

LDAP サーバーへの接続および初期コンテキストの作成に関連するその他の LDAP コンテキストプロパティーの詳細は、LDAP 接続オプション を参照してください。

注記

リファレンスを作成するために crossRef オブジェクトとともに Microsoft Active Directory を使用している場合、LDAP ログインモジュールは baseCtxDN に単一の値のみを使用し 、rolesCtxDN には単一の値のみを使用することに注意してください。このため、LDAP の紹介を使用する可能性に対応するために、初期ユーザーとロールを単一の Microsoft Active Directory ドメインに格納する必要があります。