Crowd ではもっとも一般的な LDAP ディレクトリ サーバー向けに組み込みのコネクタを提供しています。

  • Apache Directory Server (ApacheDS)
  • Apple Open Directory
  • Fedora Directory Server
  • 一般的な LDAP ディレクトリ
  • Microsoft Active Directory
  • Novell eDirectory
  • OpenDS
  • OpenLDAP
  • OpenLDAP (Posix Schema を使用)
  • LDAP 用 Posix Schema
  • Sun Directory Server Enterprise Edition (DSEE)

Before you begin configuring the directory, check for any directory-specific notes that affect the directory type you're using.

LDAP ディレクトリ コネクタの設定

  1. Log in to the Crowd Administration Console.
  2. Click the Directories link in the top navigation bar. The Directory Browser opens.
  3. Click the Add Directory link. The 'Select Directory Type' screen opens.
  4. Click the 'Connector' button. The 'Create Directory Connector' window opens. 
  5. Complete the configuration information required on each of the tabs to finish setting up the connector.

設定の一般的な注意事項

  • By default, the Cache Enabled setting on the 'Details' tab is selected. We recommend you leave this setting selected. For more information, see Configuring Caching for an LDAP Directory.
  • If you select the Manage Groups Locally setting on the 'Connector' tab (available only if you've selected the Cache Enabled check box), new groups are created and updated in the Crowd database and not propagated to the LDAP server. Memberships of local groups are also stored locally. This makes it possible to augment the group structure with new groups even with a read-only LDAP server. When this option is enabled, only local groups can be created and updated, while groups synchronised from the remote directory cannot be locally modified.
  • [Connector] タブで [Use the User Membership] 設定を選択した場合、Crowd は指定されたグループのメンバーを取得したときにユーザーのグループ メンバーシップ属性を使用するため、情報の取得がより効率的になります。 
  • [Connector] タブで [Use 'memberOf for Group Membership] 設定を選択した場合、Crowd はユーザーが所属するグループの一覧を取得するときに "memberOf" 属性を使用するため、情報の取得がより効率的になります。この設定を選択しない場合、Crowd は検索にグループのメンバー属性 (既定では "member") を使用します。
  • Crowd will synchronise user renames made in the LDAP server, provided that the User Unique Identifier Attribute is set in the 'Configuration' tab. If this attribute is not set and a user is renamed in the LDAP server, Crowd will not be able to track the user's identity, and will delete the user with the old name and create a new user with the new name. Crowd does not support group renames.
  • 使用しているディレクトリ タイプで DN フォーマットがサポートされている場合、[Connector] タブで [Use Naive DN Matching] 設定を使用して、Crowd での DN の比較時に、大文字と小文字を区別しない直接的な文字列比較を許可できます。この設定でパフォーマンスを大幅に向上できる場合があります。 
  • [Connector] タブの [Username] は次の形式で指定します。cn-adminstrator, cn=users, dc=ad, dc=acmecorp, dc=com
  • [User Name RDN attribute] を指定する場合、それぞれの LDAP エントリの DN は、RDN と、RDN ディレクトリ内でのレコードの場所の 2 つで構成されます。RDN はディレクトリのツリー構造に関係しない、DN の一部です。
  • If you have successfully added your connector, but aren't able to see any data when you browse the LDAP directory, make sure that any non-standard object types and filters are configured correctly.

By default, the Active setting on the 'Details' tab is selected. Only clear this setting if you want to prevent all users within the directory from accessing mapped applications. Inactive directories:

  • Crowd のユーザー、グループ、またはメンバーシップ検索に含まれません。
  • Crowd Administration Console 画面には引き続き表示されます。

You can also configure site-wide LDAP connection pool settings. See Configuring the LDAP Connection Pool.

ディレクトリ固有の注意事項

Apache Directory Server (ApacheDS)

  • ApacheDS を Crowd と使用する場合には 2 つの既知の問題があります。

Apple Open Directory

  • Crowd での Apple Open Directory のサポートは読み取り専用です。Crowd が接続された OS X Open Directory サーバーで、ユーザー詳細またはグループ詳細を追加または更新することはできません。ユーザーは Crowd または Crowd が接続されたアプリケーションでパスワードを変更できません。
  • Crowd は gidNumbermemberUid 属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber 属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。
  • The RFC 2307 schema does not support nesting of groups, so Crowd does not support nested groups in Apple Open Directory.

Fedora Directory Server

  • Crowd supports read-only connections to Fedora DS using the Posix/NIS schema RFC 2307. You cannot add or update user details or group details in a Crowd-connected Fedora Directory server. Users will not be able to change their passwords from Crowd or from Crowd-connected applications.
  • Crowd は gidNumbermemberUid 属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber 属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。
  • The RFC 2307 schema does not support nesting of groups, so Crowd does not support nested groups in Fedora DS.

Microsoft Active Directory

  • If you want to use a secure SSL connection, make sure you configure an SSL Certificate before enabling this setting.
  • We recommend selecting the Enable Incremental Sync setting to allow Crowd to retrieve changes made after the last synchronisation when possible.
  • Base DNdc=domain1,dc=local の形式で指定します。domain1local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。
  • If you want to use Crowd to add users or change passwords in Microsoft Active Directory, you will need to install an SSL certificated generated by your Active Directory server and then install the certificate into your JVM keystore. Please read the instructions: Configuring an SSL Certificate for Microsoft Active Directory.
  • Crowd will synchronise the user status with Active Directory. If a user account is disabled in Active Directory, the user will be deactivated in Crowd, and reciprocally, if a user is deactivated in Crowd, the user account will be disabled in Active Directory. To prevent this synchronisation,  use Manage User Status Locally in the 'Connector' tab.
  • Active Directory でのユーザーのプライマリ グループは、Crowd での標準メンバーシップとして表示されます。ただし、Crowd のユーザー インターフェイスでユーザーのプライマリ グループを変更または削除することはできません。
  • We have not tested Crowd integration with Active Directory Application Mode (ADAM). However, ADAM and Active Directory share the same code base, LDAP interface and API. So ADAM should work with Crowd, following the same integration instructions as above. If you try it, we'd be interested to hear of your experiences.

Posix Schema for LDAP または Open LDAP

  • 現在、Crowd では Posix スキームに基づいたディレクトリへの読み取り専用アクセスのみがサポートされます。ユーザーの詳細を追加または更新することはできません。Crowd は Posix/NIS スキームを使用した LDAP ディレクトリへの読み取り専用接続のみをサポートします。これは、Unix インストールをお持ちで、LDAP ディレクトリに連携したい場合に便利です。Posix/NIS スキームにより、LDAP と Unix NIS (Network Information Service) との間に連携を構築できます。
  • Crowd は gidNumbermemberUid 属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber 属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。
  • The RFC 2307 schema does not support nesting of groups, so Crowd does not support nested groups in the Posix schema.