LDAP ディレクトリ コネクタの設定

Crowd ではもっとも一般的な LDAP ディレクトリ サーバー向けに組み込みのコネクタを提供しています。

• Apache Directory Server (ApacheDS)
• Apple Open Directory
• Fedora Directory Server
• 一般的な LDAP ディレクトリ
• Microsoft Active Directory
• Novell eDirectory
• OpenDS
• OpenLDAP
• OpenLDAP (Posix Schema を使用)
• LDAP 用 Posix Schema
• Sun Directory Server Enterprise Edition (DSEE)

Before you begin configuring the directory, check for any directory-specific notes that affect the directory type you're using.

LDAP ディレクトリ コネクタの設定

1. Log in to the Crowd Administration Console.
2. Click the Directories link in the top navigation bar. The Directory Browser opens.
3. Click the Add Directory link. The 'Select Directory Type' screen opens.
4. Click the 'Connector' button. The 'Create Directory Connector' window opens. 
5. Complete the configuration information required on each of the tabs to finish setting up the connector.

設定の一般的な注意事項

• By default, the Cache Enabled setting on the 'Details' tab is selected. We recommend you leave this setting selected. For more information, see Configuring Caching for an LDAP Directory.
• [Connector] タブで [Manage Groups Locally] 設定を選択した場合 (これは [Cache Enabled] チェックボックスを選択した場合にのみ表示されます)、新しいグループは Crowd データベースで作成および更新され、LDAP サーバーに反映されることはありません。ローカル グループのメンバーシップもローカルで保管されます。これにより、読み取り専用の LDAP サーバーの場合にも新しいグループでグループ構造を増加させることが可能です。このオプションが有効化されている場合、ローカル グループのみが作成および更新可能で、リモート ディレクトリから同期されるグループをローカルで変更することはできません。
  
• [Connector] タブで [Use the User Membership] 設定を選択した場合、Crowd は指定されたグループのメンバーを取得したときにユーザーのグループ メンバーシップ属性を使用するため、情報の取得がより効率的になります。 
• [Connector] タブで [Use 'memberOf for Group Membership] 設定を選択した場合、Crowd はユーザーが所属するグループの一覧を取得するときに "memberOf" 属性を使用するため、情報の取得がより効率的になります。この設定を選択しない場合、Crowd は検索にグループのメンバー属性 (既定では "member") を使用します。
• [Configuration] タブで [User Unique Identifier Attribute] が設定されている場合、Crowd は LDAP サーバーでのユーザーの名前変更を同期します。この属性が設定されていない状態で、LDAP サーバーでユーザーの名前が変更された場合、Crowd はユーザーの ID を追跡できません。古い名前のユーザーが削除され、新しいユーザーが新しい名前で作成されます。Crowd ではグループの名前変更はサポートされません。
• 使用しているディレクトリ タイプで DN フォーマットがサポートされている場合、[Connector] タブで [Use Naive DN Matching] 設定を使用して、Crowd での DN の比較時に、大文字と小文字を区別しない直接的な文字列比較を許可できます。この設定でパフォーマンスを大幅に向上できる場合があります。 
• [Connector] タブの [Username] は次の形式で指定します。cn-adminstrator, cn=users, dc=ad, dc=acmecorp, dc=com
  
• [User Name RDN attribute] を指定する場合、それぞれの LDAP エントリの DN は、RDN と、RDN ディレクトリ内でのレコードの場所の 2 つで構成されます。RDN はディレクトリのツリー構造に関係しない、DN の一部です。
• If you have successfully added your connector, but aren't able to see any data when you browse the LDAP directory, make sure that any non-standard object types and filters are configured correctly.

You can also configure site-wide LDAP connection pool settings. See Configuring the LDAP Connection Pool.

ディレクトリ固有の注意事項

Apache Directory Server (ApacheDS)

• ApacheDS を Crowd と使用する場合には 2 つの既知の問題があります。
  • ApacheDS 1.0.2 は、再起動なしでのパスワードのリセットをサポートしません。これは ApacheDS の制限です。
  • ApacheDS does not support paged results. CWD-1109: Cannot browse users or groups if Use Paged Results is enabled. Again, this is an ApacheDS limitation.

Apple Open Directory

• Crowd での Apple Open Directory のサポートは読み取り専用です。Crowd が接続された OS X Open Directory サーバーで、ユーザー詳細またはグループ詳細を追加または更新することはできません。ユーザーは Crowd または Crowd が接続されたアプリケーションでパスワードを変更できません。
• Crowd は gidNumber と memberUid 属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber 属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。
• The RFC 2307 schema does not support nesting of groups, so Crowd does not support nested groups in Apple Open Directory.

Fedora Directory Server

• Crowd supports read-only connections to Fedora DS using the Posix/NIS schema RFC 2307. You cannot add or update user details or group details in a Crowd-connected Fedora Directory server. Users will not be able to change their passwords from Crowd or from Crowd-connected applications.
• Crowd は gidNumber と memberUid 属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber 属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。
• The RFC 2307 schema does not support nesting of groups, so Crowd does not support nested groups in Fedora DS.

Microsoft Active Directory

• If you want to use a secure SSL connection, make sure you configure an SSL Certificate before enabling this setting.
• Crowd で前回の同期後の変更を取得できるようにするため、[Enable Incremental Sync] 設定として [allow] を選択することを推奨します。
• Base DN を dc=domain1,dc=local の形式で指定します。domain1 と local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。
• If you want to use Crowd to add users or change passwords in Microsoft Active Directory, you will need to install an SSL certificated generated by your Active Directory server and then install the certificate into your JVM keystore. Please read the instructions: Configuring an SSL Certificate for Microsoft Active Directory.
• Crowd は Active Directory とユーザーのステータスを同期します。ユーザー アカウントが Active Directory で無効化された場合、ユーザーは Crowd で非アクティブになります。同様に、Crowd でユーザーが非アクティブにされた場合、そのユーザーは Active Directory で無効化されます。この同期を防止するには、[Connector] タブの [Manage User Status Locally] を使用します。
• Active Directory でのユーザーのプライマリ グループは、Crowd での標準メンバーシップとして表示されます。ただし、Crowd のユーザー インターフェイスでユーザーのプライマリ グループを変更または削除することはできません。
• If you are using a single Active Directory domain, you should disable "Use node referrals" in the directory configuration. If you have a forest, you should read User lookup fails with PartialResultException in Jira server and ensure your DNS server is configured appropriately.
• We have not tested Crowd integration with Active Directory Application Mode (ADAM). However, ADAM and Active Directory share the same code base, LDAP interface and API. So ADAM should work with Crowd, following the same integration instructions as above. If you try it, we'd be interested to hear of your experiences.

Posix Schema for LDAP または Open LDAP

• Crowd は gidNumber と memberUid 属性の両方を確認し、ユーザーがグループのメンバーかどうかを判断します。gidNumber 属性の名前を変更することはできません。Crowd はメンバーシップの確認に必ずこの属性を使用します。
• The RFC 2307 schema does not support nesting of groups, so Crowd does not support nested groups in the Posix schema.