LDAP ディレクトリ コネクタの設定
Crowd ではもっとも一般的な LDAP ディレクトリ サーバー向けに組み込みのコネクタを提供しています。
ディレクトリの設定を開始する前に、使用予定のディレクトリ タイプに影響するディレクトリ固有の注意事項があるかどうかを確認します。
LDAP ディレクトリ コネクタの設定
- Crowd Administration Console にログインします。
- 上部のナビゲーション バーで [Directories] をクリックします。
[Directory Browser] が開きます。 - [Add Directory] をクリックします。
- [Connector] を選択します。
- それぞれのタブで求められる構成情報を入力してコネクタのセットアップを完了し、クリックします。
設定の一般的な注意事項
- [Details] タブの [Cache Enabled] 設定は既定で選択されます。この設定は選択したままにしておくことをおすすめします。詳細については「LDAP ディレクトリのキャッシュ設定」をご参照ください。
- [Connector] タブで [Manage Groups Locally] 設定を選択した場合 (これは [Cache Enabled] チェックボックスを選択した場合にのみ表示されます)、新しいグループは Crowd データベースで作成および更新され、LDAP サーバーに反映されることはありません。ローカル グループのメンバーシップもローカルで保管されます。これにより、読み取り専用の LDAP サーバーの場合にも新しいグループでグループ構造を増加させることが可能です。このオプションが有効化されている場合、ローカル グループのみが作成および更新可能で、リモート ディレクトリから同期されるグループをローカルで変更することはできません。
- [Connector] タブで [Use the User Membership] 設定を選択した場合、Crowd は指定されたグループのメンバーを取得したときにユーザーのグループ メンバーシップ属性を使用するため、情報の取得がより効率的になります。
- [Connector] タブで [Use 'memberOf for Group Membership] 設定を選択した場合、Crowd はユーザーが所属するグループの一覧を取得するときに "memberOf" 属性を使用するため、情報の取得がより効率的になります。この設定を選択しない場合、Crowd は検索にグループのメンバー属性 (既定では "member") を使用します。
- [Configuration] タブで [User Unique Identifier Attribute] が設定されている場合、Crowd は LDAP サーバーでのユーザーの名前変更を同期します。この属性が設定されていない状態で、LDAP サーバーでユーザーの名前が変更された場合、Crowd はユーザーの ID を追跡できません。古い名前のユーザーが削除され、新しいユーザーが新しい名前で作成されます。Crowd ではグループの名前変更はサポートされません。
- 使用しているディレクトリ タイプで DN フォーマットがサポートされている場合、[Connector] タブで [Use Naive DN Matching] 設定を使用して、Crowd での DN の比較時に、大文字と小文字を区別しない直接的な文字列比較を許可できます。この設定でパフォーマンスを大幅に向上できる場合があります。
- [Connector] タブの [Username] は次の形式で指定します。
cn-adminstrator, cn=users, dc=ad, dc=acmecorp, dc=com
- [User Name RDN attribute] を指定する場合、それぞれの LDAP エントリの DN は、RDN と、RDN ディレクトリ内でのレコードの場所の 2 つで構成されます。RDN はディレクトリのツリー構造に関係しない、DN の一部です。
- 既定では、[Synchronise group memberships when logging in] オプションは [For newly added users only] に設定されています。これは、LDAP ディレクトリに作成されているが、Crowd には未同期のユーザーのグループ メンバーシップを同期します。この設定は利便性とパフォーマンスの確保のために推奨されます。他のオプションとして、Crowd 2.7、2.8、および 2.9 での挙動だった [Every time a user logs in] と、Crowd バージョン 2.7 よりも前のバージョンでの挙動だった [Never] があります。
- クエリ制限の影響を受けるユーザー (例: olcSizeLimit が設定された状態で、OpenLDAP の RootDN ではない DN を使用) として LDAP ディレクトリに接続している場合、一部の操作がすべての結果を返さない可能性があります。現時点では、制限の影響を受けないユーザーとして接続することが推奨されます。
- コネクタを正常に追加できたが、LDAP を参照したときにデータを表示できない場合、非標準のオブジェクト タイプとフィルターが適切に構成されているかどうかをご確認ください。
既定では、[Details] タブの [Active] 設定が選択されます。この設定は、ディレクトリ内のすべてのユーザーにマッピングされたアプリケーションへのアクセスを制限したい場合にのみ無効化します。非アクティブなディレクトリは次のようになります。
- Crowd のユーザー、グループ、またはメンバーシップ検索に含まれません。
- Crowd Administration Console 画面には引き続き表示されます。
You can also configure site-wide LDAP connection pool settings. See Configuring the LDAP Connection Pool.
ディレクトリ固有の注意事項
Apache Directory Server (ApacheDS)
- ApacheDS を Crowd と使用する場合には 2 つの既知の問題があります。
- ApacheDS 1.0.2 は、再起動なしでのパスワードのリセットをサポートしません。これは ApacheDS の制限です。
- ApacheDS は結果のページネーションをサポートしません。CWD-1109: Cannot browse users or groups if Use Paged Results is enabled。これも同様に ApacheDS の制限です。
Apple Open Directory
- Crowd での Apple Open Directory のサポートは読み取り専用です。Crowd が接続された OS X Open Directory サーバーで、ユーザー詳細またはグループ詳細を追加または更新することはできません。ユーザーは Crowd または Crowd が接続されたアプリケーションでパスワードを変更できません。
- Crowd は
gidNumber
とmemberUid
属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber
属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。 - RFC 2307 スキームはグループのネスト化をサポートしないため、Apple Open Directory で Crowd はグループのネスト化をサポートしません。
Fedora Directory Server
- Crowd は Posix/NIS スキーム RFC 2307 を使用した、Fedora DS への読み取り接続のみをサポートします。Crowd が接続された Fedora Directory サーバーで、ユーザー詳細またはグループ詳細を追加または更新することはできません。ユーザーは Crowd または Crowd が接続されたアプリケーションでパスワードを変更できません。
- Crowd は
gidNumber
とmemberUid
属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber
属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。 - RFC 2307 スキームはグループのネスト化をサポートしないため、Fedora DS で Crowd はグループのネスト化をサポートしません。
Microsoft Active Directory
- セキュアな SSL 接続を使用したい場合、この設定を有効化する前に SSL 証明書を設定するようにします。
- Crowd で前回の同期後の変更を取得できるようにするため、[Enable Incremental Sync] 設定として [allow] を選択することを推奨します。
- Base DN を
dc=domain1,dc=local
の形式で指定します。domain1
とlocal
を自身の設定で置き換える必要があります。Microsoft Server ではldp.exe
というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。 - Crowd を使用して Microsoft Active Directory でのユーザー追加やパスワードの変更を行いたい場合、Active Directory サーバーで生成された SSL 証明書をインストールし、その証明書を JVM キーストアにインストールする必要があります。「Microsoft Active Directory 向けに SSL 証明書を設定する」をご参照ください。
- Crowd は Active Directory とユーザーのステータスを同期します。ユーザー アカウントが Active Directory で無効化された場合、ユーザーは Crowd で非アクティブになります。同様に、Crowd でユーザーが非アクティブにされた場合、そのユーザーは Active Directory で無効化されます。この同期を防止するには、[Connector] タブの [Manage User Status Locally] を使用します。
- Active Directory でのユーザーのプライマリ グループは、Crowd での標準メンバーシップとして表示されます。ただし、Crowd のユーザー インターフェイスでユーザーのプライマリ グループを変更または削除することはできません。
- 1 つの Active Directory ドメインを使用している場合、ディレクトリ構成の [Use node referrals] を無効化します。フォレストがある場合、「Jira サーバーで PartialResultExeption によってユーザー ルックアップに失敗する」を確認し、DNS が適切に構成されていることをご確認ください。
- Active Directory Application Mode (ADAM) での Crowd 連携のテストは行っていません。ただし、ADAM と Active Directory は同じコードベース、LDAP インターフェイス、および API を共有しています。したがって、ADAM は前述の連携手順を使用して Crowd で使用可能であることが予想されます。セットアップをお試しになった場合、ぜひ感想をお寄せください。
- Crowd の [Filter out expired users] 機能では、accountExpires 属性を開示する LDAP 接続が必要です。Active Directory Global Catalog に接続する場合、既定では前述の属性は複製されない点にご注意ください。Crowd のユーザー ステータスに一貫性の問題が生じる可能性があります。
Posix Schema for LDAP または Open LDAP
- Crowd は
gidNumber
とmemberUid
属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber
属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。 - RFC 2307 スキームはグループのネスト化をサポートしないため、Posix スキームで Crowd はグループのネスト化をサポートしません。
最終更新日 2019 年 9 月 3 日
Powered by Confluence and Scroll Viewport.