委任認証用に Confluence アプリケーションを LDAP ディレクトリに接続できます。つまり、Confluence には、認証のみに LDAP を使用する内部ディレクトリがあります。設定セクションで説明したように、ログインを試みた時に、内部ディレクトリにユーザーを自動的に作成するオプションがあります。

概要

LDAP 認証を使用した内部ディレクトリは、内部ディレクトリの機能を提供しながら、LDAP でのみユーザーのパスワードを保存してチェックすることができます。「LDAP 認証を使用した内部ディレクトリ」は、既定の「内部ディレクトリ」とは異なります。LDAP では、アプリケーションが行う操作はパスワードのチェックのみです。LDAP は読み取り専用です。LDAP 認証を使用する内部ディレクトリ内の各ユーザーは、ユーザーを LDAP 上にマッピングする必要があります。そうでない場合はログインできません。

このオプションを使用するタイミング: ニーズに合わせてアプリケーション内でユーザーやグループ設定を行い、LDAP ディレクトリに対してユーザーのパスワードをチェックする場合はこのオプションを選択します。また、このオプションは、LDAP から多数のグループをダウンロードした結果発生する、パフォーマンスの問題を回避するのにも役立ちます。

On this page:

LDAP 認証による内部ディレクトリへの Confluence の接続

内部ディレクトリに接続するが、LDAP 経由でログインを確認するには:

  1. Go to the Confluence 'Administration Console':

    • Choose Browse > Confluence Admin. The 'Administrator Access' login screen will be displayed.
    • Enter your password and click Confirm. You will be temporarily logged into a secure session to access the 'Administration Console'.
  2. Click 'User Directories' in the left-hand panel.
  3. ディレクトリを追加し、タイプ「LDAP 認証を使用した内部」を選択します。
  4. 以下に説明するように、設定に値を入力します。
  5. Save the directory settings.
  6. 既存の内部ユーザーの代わりに LDAP ユーザーを使用したい場合、「LDAP 認証を使用する内部」をリストの一番上に移動します。「ユーザー ディレクトリ」画面で各ディレクトリの横にある青色の上下矢印をクリックして、ディレクトリの順序を定義することができます。
    ディレクトリの順序がどういった影響をもたらすかを説明します。
    • ディレクトリの順序は、ユーザーおよびグループの検索順序です。
    • ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
    For details see Managing Multiple Directories.
  7. Add your users and groups in Confluence. See Adding a New User and Adding a Group.

サーバー設定

設定

説明

名前

ディレクトリを識別するのに役立つ説明的な名前にします。例:

  • Internal directory with LDAP Authentication
  • Corporate LDAP for Authentication Only

ディレクトリ タイプ

接続する LDAP ディレクトリのタイプを選択します。新しい LDAP 接続を追加する場合、ここで選択した値によって、画面の残りのオプションの一部のデフォルト値が決定します。例:

  • Microsoft Active Directory
  • OpenDS
  • その他。

ホスト名

ディレクトリ サーバのホスト名。例:

  • ad.example.com
  • ldap.example.com
  • opends.example.com

ポート

ディレクトリ サーバーがリスンするポート。例:

  • 389
  • 10389
  • 636 (例: SSL 用)

SSL を使用する

Select this check box if the connection to the directory server is an SSL (Secure Sockets Layer) connection. Note that you will need to configure an SSL certificate in order to use this setting.

ユーザ名

ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

パスワード

上記で指定したユーザーのパスワード。

ログイン時のユーザーのコピー

設定

説明

ログイン時にユーザーをコピーする

This option affects what will happen when a user attempts to log in. If this check box is selected, the user will be created automatically in the internal directory that is using LDAP for authentication when the user first logs in and their details will be synchronised on each subsequent log in. If this check box is not selected, the user's login will fail.

If you select this check box the following additional fields will appear on the screen, which are described in more detail below:

  • 既定のグループ メンバーシップ
  • Synchronise Group Memberships
  • ユーザースキーマ設定 (以下の別のセクションに記載)

既定のグループ メンバーシップ

This field appears if you select the Copy User on Login check box. If you would like users to be automatically added to a group or groups, enter the group name(s) here. To specify more than one group, separate the group names with commas. Each time a user logs in, their group memberships will be checked. If the user does not belong to the specified group(s), their username will be added to the group(s). If a group does not yet exist, it will be added to the internal directory that is using LDAP for authentication.

Please note that there is no validation of the group names. If you mis-type the group name, authorisation failures will result – users will not be able to access the applications or functionality based on the intended group name.

Examples:

  • confluence-users
  • bamboo-users,jira-users,jira-developers

Synchronise Group Memberships

This field appears if you select the Copy User on Login check box. If this check box is selected, group memberships specified on your LDAP server will be synchronised with the internal directory each time the user logs in.

If you select this check box the following additional fields will appear on the screen, both described in more detail below:

  • グループスキーマ設定 (以下の別のセクションに記載)
  • メンバーシップスキーマ設定 (以下の別のセクションに記載)

スキーマ設定

設定

説明

ベース DN

ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の場合、ベース DN を dc=domain1,dc=local の形式で指定します。domain1local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。

ユーザー名属性

ユーザー名を読み込むときに使用する属性フィールド。例:

  • cn
  • sAMAccountName

高度な設定

設定

説明

ページングされた結果を使用

検索結果をシンプルにページングする LDAP 制御拡張機能の使用を有効または無効にします。ページングが有効になっている場合、検索によって一度にすべての検索結果が取得されるのではなく、データのセットが取得されます。必要なページサイズ、つまり、ページングされた結果が有効である場合、ページごとに返される検索結果の最大数を入力します。既定は 1000 です。

照会に従う

ディレクトリ サーバーがリクエストを別のサーバーにリダイレクトすることを許可するかどうかを選択します。このオプションは、ノード照会 (JNDI ルックアップ java.naming.referral) 設定を使用します。これは通常、適切な DNS を使用せずに設定した Active Directory サーバーで "javax.naming.PartialResultException: Unprocessed Continuation Reference(s)" エラーを発生させないようにするために必要です。

ユーザー スキーマ設定

注:このセクションは、ログイン時のユーザーのコピーが有効な場合のみ表示されます。

設定

説明

追加のユーザー DN

この値は、ユーザーの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Users

ユーザー オブジェクト クラス

これは LDAP ユーザー オブジェクトに使用されるクラス名です。例:

  • user

ユーザー オブジェクト フィルタ

ユーザー オブジェクトを検索するときに使用するフィルター。例:

  • (&(objectCategory=Person)(sAMAccountName=*))

ユーザー名 RDN 属性

ユーザー名をロードするときに使用する RDN (相対識別名)。各 LDAP エントリの DN は 2 つの部分 (記録が格納される RDN および LDAP ディレクトリ内の場所) で構成されます。RDN はディレクトリツリー構造と関係ない DN の一部です。例:

  • cn

ユーザの名属性

ユーザーの名を読み込むときに使用する属性フィールド。例:

  • givenName

ユーザーの姓属性

ユーザーの姓を読み込むときに使用する属性フィールド。例:

  • sn

ユーザーの表示名属性

ユーザーの氏名を読み込むときに使用する属性フィールド。例:

  • displayName

ユーザーのメール属性

ユーザーのメールアドレスを読み込むときに使用する属性フィールド。例:

  • mail

グループ スキーマ設定

Note: this section is only visible when both Copy User on Login and Synchronise Group Memberships are enabled.

設定

説明

追加のグループ DN

この値は、グループの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Groups

グループ オブジェクト クラス

これは LDAP グループ オブジェクトに使用されるクラス名です。例:

  • groupOfUniqueNames
  • group

グループ オブジェクト フィルター

グループ オブジェクトを検索するときに使用するフィルター。例:

  • (objectCategory=Group)

グループ名属性

グループ名を読み込むときに使用する属性フィールド。例:

  • cn

グループ説明属性

グループ名を読み込むときに使用する属性フィールド。例:

  • description

メンバーシップ スキーマ設定

Note: this section is only visible when both Copy User on Login and Synchronise Group Memberships are enabled.

設定

説明

グループ メンバー 属性

グループのメンバーを読み込むときに使用する属性フィールド。例:

  • member

ユーザー メンバーシップ属性

ユーザーのグループを読み込むときに使用する属性フィールド。例:

  • memberOf

ユーザーのグループ メンバーシップを検索する際に、ユーザー メンバーシップ属性を使用する

Select the check box if your directory server supports the group membership attribute on the user. (By default, this is the 'memberOf' attribute.)

  • If this check box is selected, your application will use the group membership attribute on the user when retrieving the members of a given group. This will result in a more efficient retrieval.
  • If this check box is not selected, your application will use the members attribute on the group ('member' by default) for the search.

可能な設定のダイアグラム

Gliffy-Confluence-LDAP-Auth-Only

上図:認証のみに使用される LDAP ディレクトリに接続する Confluence

Gliffy-Confluence-LDAP-Copy-On-First-Login

Diagram above: Confluence connecting to an LDAP directory for authentication only, with each user synchronised with the internal directory that is using LDAP authentication when they log in to Confluence.

関連トピック

ユーザー ディレクトリの設定

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.