フィードバックを送信
Connecting to a User Directory
ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、 こちら までご連絡ください。

LDAP 設定リファレンス

LDAP 構成設定にアクセスするには、 グローバル メニュー (Applications Menu icon) を開き、 コントロール パネル → 構成インスタンス設定セキュリティLDAPに移動します。 左側には、「一般」、「サーバー」、「接続」、「エクスポート」、「インポート」の 5 つのカテゴリがあります。

共通

有効: LDAP 認証を有効にするには、このボックスをオンにします。

必須: LDAP 認証が必要な場合はこのボックスをオンにします。 ユーザーは、LDAP ディレクトリに正常にバインドできない限りログインできません。 Liferay のデータベースを認証のフォールバックとして使用するには、このチェックを外します。 これにより、対応する LDAP アカウントを持たないユーザーが Liferay 資格情報を使用してログインできるようになります。

LDAP パスワード ポリシーを使用する: Liferay はデフォルトで独自のパスワード ポリシーを使用します。 これは、コントロールパネルの[Password Policies]ページで設定できます。 LDAPディレクトリで定義されたパスワードポリシーを使用する場合は、[Use LDAP Password Policy]チェックボックスをオンにします。 これを有効にすると、[Password Policies]タブに、ローカルパスワードポリシーを使用していないことが示されます。 パスワード ポリシーを設定するには、LDAP ディレクトリのメカニズムを使用する必要があります。 Liferay ではこれらのポリシーを強制することはできません。できる最善のことは、LDAP サーバーから返されたメッセージを渡すことです。 これは、サーバーが返す LDAP コントロール内のメッセージを解析することによって行われます。 Liferay のデフォルト設定では、Fedora ディレクトリ サーバーから返されたメッセージを解析します。 別の LDAP サーバーを使用する場合は、 システム設定セキュリティLDAP接続でメッセージをカスタマイズする必要があります。

Liferay は、次の条件が満たされた場合、DXP のみのユーザーに独自のパスワード ポリシーを適用します。

  • 有効 - チェック済み
  • 必須 - チェックなし
  • LDAPパスワードポリシーを使用する(インスタンス設定)またはパスワードポリシーを有効にする(システム設定) - チェックあり

DXP 専用ユーザーとは、LDAP 経由で認証されたことがないユーザーです。

方法: バインド (デフォルト) または パスワード比較を選択します。 [Bind]は標準のLDAPバインドを行います。[Password Compare]は、以下のフィールドで指定された暗号化アルゴリズムを使用して、LiferayとLDAPのパスワードを比較しようとします。 [Password Compare]はめったに使用されません。

Password Encryption Algorithm:LDAPサーバーがパスワードの暗号化に使用するパスワード暗号化アルゴリズムを選択して、[Password Compare]バインド方式を使用する場合にパスワードを比較できるようにします。 これはめったに使用されません。

[General]設定タブ。

サーバ

LDAP サーバーを追加するには、 [追加] をクリックします。

LDAP サーバー: Liferay は複数の LDAP サーバーへの接続をサポートしています。 [追加]ボタンを使用して、LDAPサーバーを追加します。

サーバー名: LDAP サーバーの名前を入力します。

デフォルト値: いくつかの一般的なディレクトリ サーバーがここに表示されます。 これらのいずれかを使用する場合は、それを選択すると、フォームの残りの部分にそのディレクトリのデフォルト値が入力されます。

これらの設定は、LDAP への接続をカバーします。

基本プロバイダー URL: LDAP サーバーへのリンク。 Liferay サーバーが LDAP サーバーと通信できることを確認します。 2 つのシステム間にファイアウォールがある場合は、適切なポートが開いていることを確認してください。

ベース DN: LDAP ディレクトリのベース識別名。通常は組織に基づいてモデル化されます。 次のような形式になります: dc=companynamehere,dc=com

プリンシパル: デフォルトの LDAP 管理者ユーザー ID がここに入力されます。 管理者 ID が異なる場合は、代わりにその資格情報を使用してください。 Liferay はこの ID を使用してユーザー アカウントを LDAP と同期するため、管理者の資格情報が必要です。

資格情報: LDAP 管理ユーザーのパスワードを入力します。

新しい LDAP サーバーを追加するには、いくつかのオプションを定義するだけで済みます。

LDAP の設定が完了したら、 [保存]をクリックします。

接続

接続エントリを使用して、 エラー パスワード有効期間キーワード などのエラー プロパティを管理します。ここでは、LDAP サーバーによって返される可能性のあるエラー メッセージのフレーズのリストを設定できます。 ユーザーが LDAP にバインドすると、サーバーは成功または失敗の応答とともに コントロール を返します。 これらのコントロールには、エラーを説明するメッセージや応答とともに返される情報が含まれています。 コントロールは LDAP サーバー間で同じですが、メッセージは異なる場合があります。 ここで説明するプロパティには、それらのメッセージの単語のスニペットが含まれており、Red Hat の Fedora Directory Server で機能します。 そのサーバーを使用していない場合、単語スニペットは LDAP サーバーでは機能しない可能性があります。 そうでない場合は、これらのプロパティの値をサーバーのエラー メッセージのフレーズに置き換えることができます。 これにより、Liferay がそれらを認識できるようになります。

ファクトリー初期: 使用する初期コンテキストファクトリーを指定します。 デフォルト値は com.sun.jndi.ldap.LdapCtxFactory です。

紹介: サービスプロバイダーが紹介を処理する方法を示します。 可能な値は 3 つあります。

  1. フォロー: 紹介を自動的にフォローする

  2. 無視: 紹介を無視

  3. 例外: 各紹介に対して ReferralException (APIリファレンスドキュメント内) をスローします

ページ サイズ: ページングをサポートするディレクトリ サーバーのページ サイズを指定します。 Microsoft Active Directory Server の場合、この値は 1000 以下にする必要があります。

範囲サイズ: 範囲取得をサポートするディレクトリ サーバーの複数値属性に対する各クエリで返される値の数を指定します。 範囲サイズは、Windows 2000 の場合は 1000 以下、Windows Server 2003 の場合は 1500 以下である必要があります。

接続プロパティ: ここでプロバイダー固有のプロパティを追加します。 デフォルト値を持つプロパティは 3 つあります。

  1. com.sun.jndi.ldap.connect.pool=true: 初期コンテキストインスタンスを作成するときに、プールされた接続を使用するように指定します。

  2. com.sun.jndi.ldap.connect.timeout=500: タイムアウト期間をミリ秒単位で指定します。

  3. com.sun.jndi.ldap.read.timeout=15000: LDAP 操作の読み取りタイムアウトをミリ秒単位で指定します。

ユーザー

ユーザー セクションを使用して、ディレクトリ内のどこでユーザーに関する情報を見つけられるかを Liferay に示します。

認証検索フィルター: ユーザーを識別する適切なフィルターを入力します。 トークン 8911408109993434201@email_address@@screen_name@、および @user_id@を使用できます。 これらのトークンは実行時に正しい値に置き換えられます。

インポート検索フィルター: ユーザーとしてインポートする正しいオブジェクトを検索するためのフィルターを入力します。

ユーザーマッピング

UUID、スクリーン名など、これらの Liferay 属性に対応する LDAP 属性を入力します。

カスタム ユーザー マッピング: LDAP 属性を、行ごとにキー/値のペアとしてユーザー オブジェクトのカスタム フィールドと一致させます。 複数のマッピングにはコンマを使用します。

カスタム連絡先マッピング: LDAP 属性を、行ごとにキー/値のペアとして連絡先オブジェクトのカスタム フィールドと一致させます。 複数のマッピングにはコンマを使用します。

ユーザーの無視属性: LDAP で無視する Liferay ユーザー属性をコンマで区切って設定します。

ユーザーと連絡先をインポートおよびエクスポートするときに、Liferay はこのマッピングを使用して LDAP 属性と Liferay 属性を一致させます。

エクスポート

エクスポートを有効にする: ユーザー アカウントを LDAP にエクスポートするには、このボックスをオンにします。 リスナーは、 User オブジェクトに加えられた変更を追跡し、 User オブジェクトが変更されるたびに、LDAP サーバーに更新をプッシュします。 デフォルトでは、ログインするたびに、 lastLoginDate などのフィールドが更新されることに注意してください。 エクスポートを有効にすると、ユーザーがログインするたびにユーザー エクスポートが実行されます。 portal-ext.properties ファイルで次のプロパティを設定することで、ユーザーの lastLoginDate フィールドの更新によって LDAP ユーザーのエクスポートがトリガーされるのを防ぐことができます。

users.update.last.login=false

グループのエクスポートを有効にする: グループを LDAP にエクスポートします。

[Export]タブ。

重要

グループをエクスポートする前に、 エクスポートを有効にするグループのエクスポートを有効にする の両方のチェックボックスをオンにしてください。

インポートする

次のオプションを使用して、LDAP ディレクトリからユーザー データをインポートできます。

インポートを有効にする: LDAP ディレクトリから一括インポートを実行するには、このボックスをオンにします。 それ以外の場合、ユーザーはログイン時にインポートされます。

Ziltoid と Rex はログインしたためインポートされました。

起動時にインポートを有効にする: Liferay の起動時に一括インポートを実行するには、このボックスをオンにします。 注:このボックスは、上記の[Enable Import]をオンにした場合にのみ表示されます。 Liferay クラスターがある場合、または各ノードの起動時にすべてのノードが一括インポートを実行する場合は、このチェックボックスをオフのままにしておきます。

インポート間隔: ユーザーを一括インポートする場合は、X 分ごとにユーザーをインポートします。

インポート方法: ユーザーまたはグループのいずれかを設定します。 これを[User]に設定すると、Liferayはサーバー接続で指定された場所からすべてのユーザーをインポートします。 [Group]に設定すると、Liferayはすべてのグループを検索し、各グループ内のユーザーをインポートします。 どのグループにも属していないユーザーはインポートされません。

LDAP 認証プロセスはインポート方法に依存しません。 ユーザーが認証されると、インポート方法で設定されている内容に関係なく、ユーザーのインポート方法が選択されたものとしてインポートされます。 これは設計によるものです。

ロック有効期限: LDAP ユーザーのインポートに対するアカウント ロックの有効期限を設定します。 デフォルトは 1 日です。

ユーザー同期戦略のインポート: ユーザー アカウントを同期するために使用する戦略を設定します。 オプションは、[Auth Type](つまり、ユーザーを認証する方法(画面名を使用するなど))と[UUID](LDAP内にUUID属性が必要)です。

インポート時にユーザーパスワードを有効にする: ユーザーを LDAP からインポートするときにデフォルトのパスワードを割り当てます。 このパスワードは自動生成できます (下記参照)。

インポート時にユーザーパスワードを自動生成: ユーザーのインポート時にランダムなパスワードを作成します。

デフォルトのユーザーパスワード: インポート時にユーザーパスワードを有効にする および インポート時にユーザーパスワードを自動生成 が無効になっている場合は、ここで入力したパスワードを使用します。

インポート時にグループ キャッシュを有効にする: インポートされたグループをキャッシュして、データベース アクセスによってインポートが遅くならないようにします。

インポート時にグループごとにロールを作成します。 LDAP グループごとに、対応する Liferay ロールを作成します。

インポート画面には上記のオプションが含まれています。

システム設定で利用可能なLDAPオプション

ほとんどの LDAP 構成はインスタンス設定から実行できますが、システム設定でのみ使用できるパラメーターもいくつかあります。 インスタンス設定から複製された設定もあります。 これらは、新しい仮想インスタンスの デフォルト 設定を変更します (下記の注記を参照)。

システム設定を変更すると、現在の仮想インスタンスに影響します。 設定を変更した後に新しい仮想インスタンスを作成すると、その仮想インスタンスは作成元のインスタンスの設定をデフォルトとして継承します。 たとえば、A (デフォルトインスタンス)、B、C という名前の仮想インスタンスがあるとします。A から、 エラー パスワード履歴キーワードを変更します。 この変更は A にのみ表示され、B や C には表示されません。次に、A から仮想インスタンス D を作成します。 エラー パスワード履歴キーワード への変更は D (B や C ではなく) に表示されます。これは、D は A から作成されたため、デフォルトで A の設定になるからです。

これらのオプションのいずれかを変更する必要がある場合は、 コントロール パネル構成システム設定に移動します。 [Security]セクションに移動し、タイトルにLDAPが含まれるエントリを見つけます。 ここでの新しい設定は、 サーバー エントリのみです。

Capability:
Security
Resource Type:
Official Documentation
Feature:
Identity Management and Authentication
Deployment Approach:
Liferay PaaS
Liferay SaaS
Liferay Self-Hosted