LDAP構成リファレンス

LDAP構成設定にアクセスするには、 グローバルメニュー （）を開き、

• コントロール パネル → 構成 → インスタンス設定 → セキュリティ → LDAP 特定のインスタンスの LDAP を構成します。

• コントロール パネル → 構成 → システム設定 → セキュリティ → LDAP システム レベルで LDAP を構成します。

LDAPの設定には、「一般」、「サーバー」、「接続」、「エクスポート」、「インポート」の5つのカテゴリが含まれます。

一般

有効: LDAP認証を有効にするには、このボックスをオンにします。

必須: LDAP認証が必要な場合は、このボックスにチェックを入れてください。 ユーザーは、LDAPディレクトリに正常にバインドできない限り、ログインできません。 認証の代替手段としてLiferayのデータベースを使用する場合は、このチェックボックスをオフにしてください。 これにより、対応するLDAPアカウントを持たないユーザーでも、Liferayの認証情報を使用してログインできるようになります。

LDAP パスワード ポリシーを使用する: Liferay はデフォルトで独自のパスワード ポリシーを使用します。 これは、コントロールパネルの［Password Policies］ページで設定できます。 LDAPディレクトリで定義されたパスワードポリシーを使用する場合は、［Use LDAP Password Policy］チェックボックスをオンにします。 これを有効にすると、［Password Policies］タブに、ローカルパスワードポリシーを使用していないことが示されます。 パスワードポリシーを設定するには、LDAPディレクトリの仕組みを使用する必要があります。 Liferayはこれらのポリシーを強制することはできません。Liferayができるのは、LDAPサーバーから返されたメッセージをそのまま通過させることだけです。 これは、サーバーが返すLDAPコントロール内のメッセージを解析することによって行われます。 Liferayのデフォルト設定では、Fedoraディレクトリサーバーから返されるメッセージを解析します。 別の LDAP サーバーを使用する場合は、 システム設定 → セキュリティ → LDAP → 接続 のメッセージをカスタマイズする必要があります。

Method：［Bind］（デフォルト）または［Password Compare］を選択します。 ［Bind］は標準のLDAPバインドを行います。［Password Compare］は、以下のフィールドで指定された暗号化アルゴリズムを使用して、LiferayとLDAPのパスワードを比較しようとします。 ［Password Compare］はめったに使用されません。

Password Encryption Algorithm：LDAPサーバーがパスワードの暗号化に使用するパスワード暗号化アルゴリズムを選択して、［Password Compare］バインド方式を使用する場合にパスワードを比較できるようにします。 これはめったに使われない。

サーバ

をクリックして を追加し、LDAPサーバーを追加します。

LDAPサーバー: Liferayは複数のLDAPサーバーへの接続をサポートしています。 ［追加］ボタンを使用して、LDAPサーバーを追加します。

サーバー名: LDAP サーバーの名前を入力してください。

デフォルト値: 一般的なディレクトリサーバーがいくつかここに表示されます。 これらのいずれかを使用する場合は、それを選択すると、フォームの残りの部分にそのディレクトリのデフォルト値が自動的に入力されます。

これらの設定はLDAPへの接続に関するものです。

ベースプロバイダー URL: LDAP サーバーへのリンク。 LiferayサーバーがLDAPサーバーと通信できることを確認してください。 2つのシステム間にファイアウォールがある場合は、適切なポートが開いていることを確認してください。

ベース DN: LDAP ディレクトリのベース識別名。通常は組織名にちなんで付けられます。 次のような表示になるかもしれません: dc=companynamehere,dc=com。

プリンシパル: デフォルトの LDAP 管理者ユーザー ID がここに入力されます。 管理者IDが異なる場合は、そちらの認証情報を使用してください。 LiferayはこのIDを使用してユーザーアカウントをLDAPとの間で同期するため、管理者権限が必要です。

認証情報: LDAP 管理者ユーザーのパスワードを入力してください。

LDAPの設定が完了したら、 保存 をクリックします。

接続

接続エントリを使用して、 エラーパスワード有効期限キーワード などのエラープロパティを管理します。ここでは、LDAP サーバーから返される可能性のあるエラー メッセージからのフレーズのリストを設定できます。 ユーザーが LDAP にバインドすると、サーバーは成功または失敗の応答とともに コントロール を返します。 これらのコントロールには、エラーの内容やレスポンスとともに返される情報を示すメッセージが含まれています。 LDAPサーバー間で制御方法は同じですが、メッセージの内容は異なる場合があります。 ここで説明するプロパティには、それらのメッセージからの単語の断片が含まれており、Red HatのFedora Directory Serverと連携して動作します。 そのサーバーを使用していない場合、単語のスニペットはLDAPサーバーでは機能しない可能性があります。 そうでない場合は、これらのプロパティの値をサーバーのエラーメッセージから抜粋したフレーズに置き換えることができます。 これにより、Liferayはそれらを認識できるようになります。

ファクトリ初期化: 使用する初期コンテキストファクトリを指定します。 デフォルト値は com.sun.jndi.ldap.LdapCtxFactory です。

紹介: サービスプロバイダーが紹介をどのように処理するかを示します。 考えられる値は3つあります。

1. フォロー: 紹介者を自動的にフォローする

2. 無視: 紹介を無視する

3. スロー: 紹介ごとに ReferralException をスローします (API リファレンス ドキュメント内)

ページサイズ: ページングをサポートするディレクトリサーバーのページサイズを指定します。 Microsoft Active Directory Serverの場合、この値は1000以下でなければなりません。

範囲サイズ: 範囲取得をサポートするディレクトリサーバーの場合、複数値属性への各クエリで返される値の数を指定します。 範囲のサイズは、Windows 2000 の場合は 1000 以下、Windows Server 2003 の場合は 1500 以下でなければなりません。

接続プロパティ: ここにプロバイダ固有のプロパティを追加します。 デフォルト値を持つプロパティは3つあります。

1. com.sun.jndi.ldap.connect.pool=true: 初期コンテキストインスタンスを作成する際に、プールされた接続を使用することを指定します。

2. com.sun.jndi.ldap.connect.timeout=500: タイムアウト期間をミリ秒単位で指定します。

3. com.sun.jndi.ldap.read.timeout=15000: LDAP 操作の読み取りタイムアウトをミリ秒単位で指定します。

ユーザー

「ユーザー」セクションを使用して、ディレクトリ内のユーザー情報の場所をLiferayに指示します。

認証検索フィルター: ユーザーを識別する適切なフィルターを入力してください。 トークン 8911408109993434201、 @email_address@、 @screen_name@、および @user_id@ を使用できます。 これらのトークンは、実行時に正しい値に置き換えられます。

インポート検索フィルター: ユーザーとしてインポートする正しいオブジェクトを検索するフィルターを入力してください。

ユーザーマッピング

UUID、スクリーン名など、これらのLiferay属性に対応するLDAP属性を入力してください。

カスタムユーザーマッピング: LDAP属性をユーザーオブジェクトのカスタムフィールドにキー/値のペアとして1行ごとに一致させます。 複数のマッピングを指定する場合は、カンマを使用してください。

カスタム連絡先マッピング: 連絡先オブジェクトのカスタムフィールドと LDAP 属性を、行ごとにキー/値のペアとして一致させます。 複数のマッピングを指定する場合は、カンマを使用してください。

ユーザー無視属性: LDAP で無視したい Liferay ユーザー属性をカンマで区切って設定します。

Liferayは、ユーザーと連絡先をインポートおよびエクスポートする際に、このマッピングを使用してLDAP属性とLiferay属性を照合します。

エクスポート

エクスポートを有効にする: このボックスをオンにすると、ユーザー アカウントが LDAP にエクスポートされます。 リスナーは、 User オブジェクトに加えられた変更を追跡し、 User オブジェクトが変更されるたびに、更新を LDAP サーバーにプッシュします。 デフォルトでは、ログインするたびに、 lastLoginDate などのフィールドが更新されることに注意してください。 エクスポートが有効になっている場合、ユーザーがログインするたびにユーザーデータのエクスポートが実行されます。 lastLoginDate フィールドの更新によって LDAP ユーザーのエクスポートがトリガーされないようにするには、 portal-ext.properties ファイルで次のプロパティを設定します。

users.update.last.login=false

グループのエクスポートを有効にする: グループを LDAP にエクスポートします。

インポートする

以下のオプションを使用して、LDAPディレクトリからユーザーデータをインポートできます。

インポートを有効にする: LDAP ディレクトリから一括インポートを実行するには、このボックスをオンにします。 それ以外の場合は、ユーザーはログイン時にインポートされます。

起動時にインポートを有効にする: Liferay の起動時に一括インポートを実行するには、このボックスをオンにします。 注：このボックスは、上記の［Enable Import］をオンにした場合にのみ表示されます。 Liferayクラスタを使用している場合、またはすべてのノードが起動時に一括インポートを実行する場合は、このチェックボックスをオフにしてください。

インポート間隔: ユーザーを一括インポートする場合、X 分ごとにユーザーをインポートします。

インポート方法: ユーザーまたはグループを設定します。 これを［User］に設定すると、Liferayはサーバー接続で指定された場所からすべてのユーザーをインポートします。 ［Group］に設定すると、Liferayはすべてのグループを検索し、各グループ内のユーザーをインポートします。 どのグループにも属していないユーザーはインポートされません。

ロック有効期限: LDAP ユーザーインポートのアカウントロック有効期限を設定します。 デフォルトは1日です。

インポートユーザー同期戦略: ユーザーアカウントを同期するために使用する戦略を設定します。 オプションは、［Auth Type］（つまり、ユーザーを認証する方法（画面名を使用するなど））と［UUID］（LDAP内にUUID属性が必要）です。

インポート時にユーザーパスワードを有効にする: LDAP からユーザーがインポートされるときにデフォルトのパスワードを割り当てます。 このパスワードは自動生成できます（下記参照）。

インポート時にユーザーパスワードを自動生成: ユーザーのインポート時にランダムなパスワードを作成します。

デフォルトのユーザーパスワード: インポート時にユーザーパスワードを有効にする と インポート時にユーザーパスワードを自動生成する が無効になっている場合は、ここに入力したパスワードを使用します。

インポート時にグループキャッシュを有効にする: インポートされたグループをキャッシュして、データベースアクセスによってインポートが遅くならないようにします。

インポート時にグループごとにロールを作成します: LDAP グループごとに、対応する Liferay ロールを作成します。

システム設定で利用可能なLDAPオプション

ほとんどのLDAP設定はインスタンス設定から行うことができますが、システム設定でのみ利用可能なパラメータがいくつかあります。 インスタンス設定にある設定と重複する設定もあります。 これらは、新しい仮想インスタンスの デフォルトの 設定を変更します (下記の注記を参照)。

これらのオプションのいずれかを変更する必要がある場合は、 コントロール パネル → 構成 → システム設定 に移動してください。 ［Security］セクションに移動し、タイトルにLDAPが含まれるエントリを見つけます。 ここで新しく追加された設定は、「サーバー」の項目のみです。