一部のサイトは複数のディレクトリ サブツリーでユーザーを定義しながら、ユーザーがさまざまなユーザー名形式を利用できるようにしています。このような多様なニーズに対応するために、以下のガイドラインに則って、IdentityMap要素とIdentitySearch構成要素の組み合わせを構成する必要が生じることがあります。
- LDAP構成に追加できるIdentityMapおよびIdentitySearch要素の個数に制限はありません。
- 要素は、TdgssUserConfigFile.xmlに任意の順序で表示できます。
- LDAPは、メカニズム構成に表示される順にIdentityMapとIdentitySearchの要素を処理します。
- LDAPは、ユーザー名(authcid)を完全に消費する一致表現を含む最初のIdentityMapまたはIdentitySearch要素を使用してユーザーを認証します。
- いずれの識別情報マップまたは識別情報検索もユーザー名を完全に消費しない場合、LDAPはログオンに表示される単純なユーザー名とのバインドを試みます。ディレクトリが単純なユーザー名をユーザーDNに解決できなければ、ログオンは失敗します。
- 識別情報検索で正確に1つのオブジェクトが返されない場合、認証は失敗します。
- 識別情報マップで定義されているユーザーがディレクトリに存在しない場合、認証は失敗します。
ユーザー名(authcid)全体を表わす${0}も使用することができます。