LDAP ディレクトリへの接続

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

You can connect Hipchat Server to an LDAP directory for authentication and user management. Hipchat Server will periodically synchronize the user data, including username, display name, and email, from LDAP.

概要

LDAPディレクトリは ユーザーおよびグループのデータのコレクションです。LDAP(Lightweight Directory Access Protocol)は、WebアプリケーションがLDAPサーバーからユーザーおよびグループに関する情報を検索するために使用できるインターネットプロトコルです。

On this page:

Related topic:

JIRA では最もポピュラーな LDAP ディレクトリサーバーのビルトインコネクタを提供します。

  • Microsoft Active Directory
  • Apache Directory Server (ApacheDS)
  • Apple Open Directory
  • Fedora Directory Server
  • Novell eDirectory
  • OpenDS
  • OpenLDAP
  • OpenLDAP (Posix Schema を使用)
  • LDAP 用 Posix Schema
  • Sun Directory Server Enterprise Edition (DSEE)
  • 汎用 LDAP ディレクトリ サーバー

When to use this option: Connecting to an LDAP directory server is useful if your users and groups are stored in a corporate directory.

Connecting to an LDAP Directory in Hipchat Server

To connect Hipchat Server to an LDAP directory:

  1. Browse to your server's fully qualified domain name, for example https://hipchat.yourcompany.com/.
  2. Log into the Hipchat Server web user interface (UI) using your administrator email and password. 
  3. Go to Group admin > Authentication.
  4. Choose Add Directory and and select either:
    • Microsoft Active Directory – This option provides a quick way to select AD, because it is the most popular LDAP directory type.
    • LDAP - 次の画面で特定の LDAP ディレクトリ タイプを選択できます。
  5. Enter the values for the settings. (The settings and which values to provide are described further down this page.)
  6. Save the directory settings.
  7. Define the directory order by clicking the blue up and down arrows next to each directory on the 'User Directories' screen. Here is a summary of how the directory order affects the processing:
    • ディレクトリの順序は、ユーザーおよびグループの検索順序です。
    • ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
     For details see Managing Multiple Directories.

サーバー設定

設定

説明

名前

LDAP ディレクトリ サーバーを識別するのに役立つわかりやすい名前を入力します。例:

  • Example Company Staff Directory
  • Example Company Corporate LDAP

ディレクトリ タイプ

接続する LDAP ディレクトリのタイプを選択します。新しい LDAP 接続を追加する場合、ここで選択した値によって、画面の残りのオプションの多くのデフォルト値が決定します。例:

  • Microsoft Active Directory
  • OpenDS
  • その他

ホスト名

ディレクトリ サーバのホスト名。例:

  • ad.example.com
  • ldap.example.com
  • opends.example.com

ポート

ディレクトリ サーバーがリスンするポート。例:

  • 389
  • 10389
  • 636 (例: SSL 用)

SSL を使用する

ディレクトリ サーバーへの接続が SSL (Secure Sockets Layer) 接続の場合は、オンにします。この設定を使用するには、SSL 証明書を設定する必要があります。

ユーザ名

ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

デフォルトでは、すべてのユーザーが uSNChanged 属性を読み取ることができます。ただし、管理者または関連する権限を持つユーザーのみが削除済みオブジェクト コンテナにアクセスすることができます。ユーザーが LDAP に接続するのに必要な特定の権限は、「バインド」および「読み取り」(ユーザー情報、グループ情報、グループ メンバーシップ、更新シーケンス番号、削除済みオブジェクト)です。これらは、Active Directory の組み込みの管理者グループのメンバーであるユーザーが取得することができます。

Note that the incremental sync will fail silently if the Active Directory is accessed by a user without these privileges. This has been reported as CWD-3093.

パスワード

上記で指定したユーザーのパスワード。

注: LDAP サーバーへの接続では、このアプリケーションがここで設定されたユーザー名とパスワードでサーバーにログインする必要があります。結果として、このパスワードは一方向にハッシュ化することができません。このアプリケーションのコンテキストで回復可能である必要があります。パスワードは現在、難読化されていないプレーン テキストでデータベースに保存されています。セキュリティを保証するには、他のプロセスがこのアプリケーションのデータベースまたは設定ファイルに対する OS レベルの読み取り権限を持っていないことを確認する必要があります。

スキーマ設定

設定

説明

ベース DN

ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の場合、ベース DN を dc=domain1,dc=local の形式で指定します。domain1local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。

追加のユーザー DN

この値は、ユーザーの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Users

追加のグループ DN

この値は、グループの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Groups

追加のユーザー DN または追加のグループ DN に値が指定されていない場合、サブツリー検索がベース DN から始まります。ディレクトリ構造が巨大な場合、ログインおよび実施されるログインに依存する操作について、パフォーマンスの問題が生じる可能性があります

パーミッション設定

設定

説明

読み取り専用

LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得され、ディレクトリ サーバーを介してのみ変更することができます。アプリケーション管理画面から LDAP ユーザー、グループ、またはメンバーシップを変更することはできません。

ローカル グループでの読み取り専用

Not applicable to Hipchat Server.

読み取り/書き込み

Not applicable to Hipchat Server.

高度な設定

設定

説明

Secure SSLIf ticked, the SSL certificate of the LDAP server will be checked

Enable Nested Groups

Not applicable to Hipchat Server

ユーザー ステータスをローカルで管理するtrue の場合、ディレクトリ サーバー内のステータスに関係なく、Crowd でユーザーをアクティブ化/非アクティブ化できます。

ページングされた結果を使用

検索結果をシンプルにページングする LDAP 制御拡張機能の使用を有効または無効にします。ページングが有効になっている場合、検索によって一度にすべての検索結果が取得されるのではなく、データのセットが取得されます。必要なページサイズ、つまり、ページングされた結果が有効である場合、ページごとに返される検索結果の最大数を入力します。既定は 1000 です。

照会に従う

ディレクトリ サーバーがリクエストを別のサーバーにリダイレクトすることを許可するかどうかを選択します。このオプションは、ノード照会 (JNDI ルックアップ java.naming.referral) 設定を使用します。これは通常、適切な DNS を使用せずに設定した Active Directory サーバーで "javax.naming.PartialResultException: Unprocessed Continuation Reference(s)" エラーを発生させないようにするために必要です。

ネイティブ DN マッチング

If your directory server will always return a consistent string representation of a DN, you can enable naive DN matching. Using naive DN matching will result in a significant performance improvement, so we recommend enabling it where possible.

This setting determines how your application will compare DNs to determine if they are equal.

  • このチェックボックスがオンの場合、アプリケーションは直接、大文字小文字を区別しない文字列比較を実施します。Active Directory はDN の形式を保証するため、これは Active Directory のデフォルトかつ推奨の設定です。
  • このチェックボックスがオフの場合、アプリケーションは DN を解析し、解析されたバージョンを確認します。
Enable Incremental Synchronization

ディレクトリの同期時に、前回の同期が照会されてからの変更のみが必要な場合、インクリメンタル同期を有効化します。

(warning) このオプションを使用する場合、同期するように設定されたユーザーアカウントは以下への読み取り権限を持っている必要があることに注意してください。

  • 同期する必要があるディレクトリ内のすべてのユーザーおよびグループの uSNChanged 属性。
  • The objects and attributes in the Active Directory deleted objects container (see Microsoft's Knowledge Base Article No. 892806 for details).

これらの条件の少なくとも1つが満たされない場合、Active Directory に追加された(または削除された)ユーザーは、アプリケーション内でそれぞれ追加(または削除)されずに終わります。

この設定は、ディレクトリのタイプが「Microsoft Active Directory」に設定されている場合に利用できます。

Synchronization Interval (minutes)

同期とは、アプリケーションがユーザー データの内部ストアをディレクトリ サーバ上のデータで更新するプロセスです。アプリケーションは x 分ごとにディレクトリ サーバーにリクエストを送信します。x はここで指定する数値です。既定値は60分です。

読み込みタイムアウト(秒)

The time, in seconds, to wait for a response to be received. If there is no response within the specified time period, the read attempt will be aborted. A value of 0 (zero) means there is no limit. The default value is 120 seconds.

検索タイムアウト(秒)

検索操作からのレスポンスを受信するまでに待機する時間 (秒)。値を 0 (ゼロ) にすると、無制限になります。既定値は 60 秒です。

接続タイムアウト(秒)

この設定は2つの操作に影響します。デフォルト値は0です。

  • コネクション プールからコネクションを取得する際に待機する時間。値を0(ゼロ)にすると、無制限となり、いつまでも待機します。
  • 新しいサーバー接続を開くまで待つ時間 (秒単位)。値が 0 (ゼロ) の場合は、TCP ネットワーク タイムアウトが使用されることを示しますが、これには数分かかる場合があります。


ユーザー スキーマ設定

設定

説明

ユーザー オブジェクト クラス

これは LDAP ユーザー オブジェクトに使用されるクラス名です。例:

  • user

ユーザー オブジェクト フィルタ

ユーザー オブジェクトを検索するときに使用するフィルター。例:

  • (&(objectCategory=Person)(sAMAccountName=*))

You can have a maximum of 4,000 characters in this field. Ensure your LDAP filters are concise.

More examples can be found here and here.

ユーザー名属性

The attribute field to use when loading the username. Examples:

  • cn
  • sAMAccountName

NB: In Active Directory, the 'sAMAccountName' is the 'User Logon Name (pre-Windows 2000)' field. The User Logon Name field is referenced by 'cn'.

ユーザー名 RDN 属性

The RDN (relative distinguished name) to use when loading the username. The DN for each LDAP entry is composed of two parts: the RDN and the location within the LDAP directory where the record resides. The RDN is the portion of your DN that is not related to the directory tree structure. Example:

  • cn

ユーザの名属性

ユーザーの名を読み込むときに使用する属性フィールド。例:

  • givenName

ユーザーの姓属性

ユーザーの姓を読み込むときに使用する属性フィールド。例:

  • sn

ユーザーの表示名属性

ユーザーの氏名を読み込むときに使用する属性フィールド。例:

  • displayName

This field cannot accept more than 50 characters from LDAP. Otherwise, the sync will skip the user. HCPUB-1763 - Getting issue details... STATUS is a feature request to increase the limit beyond 50 characters.

ユーザーのメール属性

ユーザーのメールアドレスを読み込むときに使用する属性フィールド。例:

  • mail

The user will not be synchronized if this attribute is empty. Always use the attribute that contains the user email (example: userPrincipalName).


ユーザーのパスワード属性

ユーザーのパスワードを読み込むときに使用する属性フィールド。例:

  • unicodePwd
ユーザー ユニーク ID 属性

属性は、ユーザー オブジェクトに対する一意かつ不変の ID として使用されます。これは、オプションであり、ユーザー名の変更の追跡に使用されます。この属性が設定されていない場合 (または無効な値に設定されている場合)、ユーザー名は検出されません。ユーアーの削除後の新しいユーザーの追加として解釈されます。

This should normally point to a UUID value. Standards-compliant LDAP servers will implement this as 'entryUUID' according to RFC 4530. This setting exists because it is known under different names on some servers, e.g. 'objectGUID' in Microsoft Active Directory.

グループ スキーマ設定

Note: Group schema settings are not relevant to Hipchat Server.

メンバーシップ スキーマ設定

The User Member Attribute is the only Membership schema setting relevant to Hipchat Server. All other Membership schema settings are not relevant.

設定説明
User Member Attribute

Because Hipchat Server doesn't filter by groups, use this attribute to identify which users are associated with groups. For more information, see the section on filtering for groups in Reduce the number of users synchronised from LDAP to Hipchat Server.

例:

memberOf

可能な設定のダイアグラム

Gliffy-Hipchat-to-LDAP

最終更新日: 2018 年 2 月 14 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.