LDAP ディレクトリ コネクタの設定
ディレクトリの追加
このページの内容
関連コンテンツ
- 関連コンテンツがありません
Crowd provides built-in connectors for the most popular LDAP directory servers.
はじめる前に
Depending on the directory you're using, there might be extra steps that affect your configuration. For more info, see directory-specific notes.
Supported LDAP servers
Here's a list of supported LDAP servers:
- Apache Directory Server (ApacheDS)
- Apple Open Directory
- Fedora Directory Server
- 一般的な LDAP ディレクトリ
- Microsoft Active Directory
- Novell eDirectory
- OpenDS
- OpenLDAP
- OpenLDAP (Posix Schema を使用)
- LDAP 用 Posix Schema
- Sun Directory Server Enterprise Edition (DSEE)
LDAP ディレクトリ コネクタの設定
To configure an LDAP directory connector:
- Crowd Administration Console にログインします。
- In the top navigation bar, click Directories.
The Directory Browser opens. - [Add Directory] をクリックします。
- [Connector] を選択します。
- Complete the configuration information required on each of the tabs to finish setting up the connector. Look at the section below for important notes related to each tab.
Configuration notes for each tab
Below you can find important configuration notes for each tab:
Cache enabled
This option is selected by default. We recommend you leave this setting selected. For more information, see Configuring Caching for an LDAP Directory.
アクティブ
This option is selected by default. Only clear this setting if you want to prevent all users within the directory from accessing mapped applications. Inactive directories:
- Crowd のユーザー、グループ、またはメンバーシップ検索に含まれません。
- Crowd Administration Console 画面には引き続き表示されます。
Manage groups locally
If you select this option (available only with cache enabled), new groups are created and updated in the Crowd database, and not propagated to the LDAP server. Memberships of local groups are also stored locally. This makes it possible to augment the group structure with new groups even with a read-only LDAP server. When this option is enabled, only local groups can be created and updated, while groups synchronized from the remote directory cannot be locally modified.
Use the User Membership
If you select this option, Crowd will use the group membership attribute on the user when it retrieves the members of a given group, which results in a more efficient retrieval.
Use 'memberOf' for Group Membership
If you select this option, Crowd will use the 'memberOf' attribute when retrieving the list of groups a user belongs to, which results in a more efficient retrieval. If you don't select it, Crowd uses the members attribute on the group ('member' by default) for the search.
ユーザ名
Specify the username in the following format: cn-adminstrator, cn=users, dc=ad, dc=acmecorp, dc=com
.
Synchronise group memberships when logging in
By default, this option is set to For newly added users only. This will synchronize group memberships for users who have been created in the LDAP directory, but not yet synchronized to Crowd. This is recommended for convenience, without sacrificing performance. Other options are to synchronize the memberships Every time a user logs in, which was the behaviour in Crowd 2.7, 2.8 and 2.9, and to Never synchronise the memberships, which was how Crowd behaved before version 2.7.
コネクション タイムアウト
This parameter works differently depending on the type of LDAP connection pool you're using.
- Dynamic pool: It only specifies the time limit for connecting to a directory.
- JNDI pool: It specifies both the time limit for connecting to a directory, and the max time the pool waits for a connection to be returned after it has been exhausted.
For the Dynamic pool, the max time the pool waits for a connection to be returned is specified by separate parameters that can be configured on the LDAP connection pooling tab. These parameters are 'Wait when exhausted' and 'Max time'.
User Unique Identifier Attribute
If this attribute is set, Crowd will sync user renames made in the LDAP server.
If this attribute is not set and a user is renamed in the LDAP server, Crowd will not be able to track the user's identity, and will delete the user with the old name and create a new user with the new name. Crowd does not support group renames.
User Name RDN attribute
If you specify this parameter, the DN for each LDAP entry is composed of two parts: the RDN and the location within the RDN directory where the recored resides. The RDN is the portion of your DN that is not related to the directory tree structure.
You can use this tab to configure LDAP connection pooling for your directory, which significantly improves performance. For more info, see LDAP connection pooling.
- クエリ制限の影響を受けるユーザー (例: olcSizeLimit が設定された状態で、OpenLDAP の RootDN ではない DN を使用) として LDAP ディレクトリに接続している場合、一部の操作がすべての結果を返さない可能性があります。現時点では、制限の影響を受けないユーザーとして接続することが推奨されます。
- コネクタを正常に追加できたが、LDAP を参照したときにデータを表示できない場合、非標準のオブジェクト タイプとフィルターが適切に構成されているかどうかをご確認ください。
No important notes for the Permissions and Options tabs.
ディレクトリ固有の注意事項
Expand an entry for the directory you're using to check for configuration notes.
ApacheDS を Crowd と使用する場合には 2 つの既知の問題があります。
- ApacheDS 1.0.2 は、再起動なしでのパスワードのリセットをサポートしません。これは ApacheDS の制限です。
- ApacheDS は結果のページネーションをサポートしません。CWD-1109: Cannot browse users or groups if Use Paged Results is enabled。これも同様に ApacheDS の制限です。
- Crowd での Apple Open Directory のサポートは読み取り専用です。Crowd が接続された OS X Open Directory サーバーで、ユーザー詳細またはグループ詳細を追加または更新することはできません。ユーザーは Crowd または Crowd が接続されたアプリケーションでパスワードを変更できません。
- Crowd は
gidNumber
とmemberUid
属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber
属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。 - RFC 2307 スキームはグループのネスト化をサポートしないため、Apple Open Directory で Crowd はグループのネスト化をサポートしません。
- Crowd は Posix/NIS スキーム RFC 2307 を使用した、Fedora DS への読み取り接続のみをサポートします。Crowd が接続された Fedora Directory サーバーで、ユーザー詳細またはグループ詳細を追加または更新することはできません。ユーザーは Crowd または Crowd が接続されたアプリケーションでパスワードを変更できません。
- Crowd は
gidNumber
とmemberUid
属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber
属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。 - RFC 2307 スキームはグループのネスト化をサポートしないため、Fedora DS で Crowd はグループのネスト化をサポートしません。
- セキュアな SSL 接続を使用したい場合、この設定を有効化する前に SSL 証明書を設定するようにします。
- Crowd で前回の同期後の変更を取得できるようにするため、[Enable Incremental Sync] 設定として [allow] を選択することを推奨します。
- Base DN を
dc=domain1,dc=local
の形式で指定します。domain1
とlocal
を自身の設定で置き換える必要があります。Microsoft Server ではldp.exe
というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。 - Crowd を使用して Microsoft Active Directory でのユーザー追加やパスワードの変更を行いたい場合、Active Directory サーバーで生成された SSL 証明書をインストールし、その証明書を JVM キーストアにインストールする必要があります。「Microsoft Active Directory 向けに SSL 証明書を設定する」をご参照ください。
- Crowd は Active Directory とユーザーのステータスを同期します。ユーザー アカウントが Active Directory で無効化された場合、ユーザーは Crowd で非アクティブになります。同様に、Crowd でユーザーが非アクティブにされた場合、そのユーザーは Active Directory で無効化されます。この同期を防止するには、[Connector] タブの [Manage User Status Locally] を使用します。
- Active Directory でのユーザーのプライマリ グループは、Crowd での標準メンバーシップとして表示されます。ただし、Crowd のユーザー インターフェイスでユーザーのプライマリ グループを変更または削除することはできません。
- 1 つの Active Directory ドメインを使用している場合、ディレクトリ構成の [Use node referrals] を無効化します。フォレストがある場合、「Jira サーバーで PartialResultExeption によってユーザー ルックアップに失敗する」を確認し、DNS が適切に構成されていることをご確認ください。
- Active Directory Application Mode (ADAM) での Crowd 連携のテストは行っていません。ただし、ADAM と Active Directory は同じコードベース、LDAP インターフェイス、および API を共有しています。したがって、ADAM は前述の連携手順を使用して Crowd で使用可能であることが予想されます。セットアップをお試しになった場合、ぜひ感想をお寄せください。
- Crowd の [Filter out expired users] 機能では、accountExpires 属性を開示する LDAP 接続が必要です。Active Directory Global Catalog に接続する場合、既定では前述の属性は複製されない点にご注意ください。Crowd のユーザー ステータスに一貫性の問題が生じる可能性があります。
- 現在、Crowd では Posix スキームに基づいたディレクトリへの読み取り専用アクセスのみがサポートされます。ユーザーの詳細を追加または更新することはできません。Crowd は Posix/NIS スキームを使用した LDAP ディレクトリへの読み取り専用接続のみをサポートします。これは、Unix インストールをお持ちで、LDAP ディレクトリに連携したい場合に便利です。Posix/NIS スキームにより、LDAP と Unix NIS (Network Information Service) との間に連携を構築できます。
- Crowd は
gidNumber
とmemberUid
属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber
属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。 - RFC 2307 スキームはグループのネスト化をサポートしないため、Posix スキームで Crowd はグループのネスト化をサポートしません。
関連コンテンツ
- 関連コンテンツがありません