この機能はグループのようにふるまう既存のまたは新規のディレクトリ エントリをVantageの外部ロールにマッピングします。プリンシパルの認証を確立するためにディレクトリが検索されます。
<AuthSearch>構成要素は、簡易認証を有効にします。
構成はTdgssUserConfigFile.xmlに追加され、ディレクトリ サーバー内のグループのようなエントリを検索するために必要な検索パラメータを定義します。
<AuthSearch
Ref="service-id"
Base="search-base"
Scope="{onelevel|subtree}"
MemberAttribute="member-attribute-name"
ObjectClass="object-class-name"
NamingAttribute="naming-attribute-name"
<AuthSearchMap Match="regex" Pattern="pattern"/>
/>...
<AuthSearch
<AuthSearchMap Match="manager" Pattern="admin"/>
< AuthSearchMap Match="socal" Pattern="tduser">
/>
</Mechanism>
属性
| 属性 | 説明 |
|---|---|
| ref | Ref属性は<AuthSearch>が<LdapConfig>セクションの<Canonicalizations>エリア内に配置されている場合にのみ使用されます。<AuthSearch>が<MchanismProperties>要素内に配置されている場合は使用されません。 この属性は検索を実行する<Service>の名前を指定します。<Service>のId属性の値を指定する必要があります。<IdentitySearch>要素と<IdentityMap>要素のRef属性に適用されるRef属性にも同じルールが適用されます。 検索はユーザーを識別したサービスで実行されます。プリンシパルの識別名(DN)を生成する正規化に関連付けられた同じサービスが、マッピングのために検索されます。 |
| Base | Base属性はオプションです。指定されていない場合、値はメカニズムまたはサービスのLdap GroupBase FQDNプロパティから取得されます。LdapGroupBaseFQDNプロパティが指定されていない場合、値はLdapBaseFQDNから取得されます。この値はVantageの外部ロールを表わすグループのようなエントリの検索開始位置を定義します。 |
| Scope | スコープ属性はオプションです。この属性は検索スコープを指定します。"onelevel"または "subtree"の2つの値のいずれかを取ります。デフォルトは“subtree”です。 |
| MemberAttribute | MemberAttribute属性とObjectClass属性の値を使用して検索フィルタを構築します。 MemberAttribute属性はオプションです。MemberAttributeは識別されたユーザーのDNを含むディレクトリ内の属性の名前を指定します。この属性が省略されると、デフォルト値は“member”になります。この属性はdistinguishedNameMatch等価一致ルールと1.3.6.1.4.1.1466.115.121.1.12(識別名)構文規則を必ず使用する必要があります。 |
| ObjectClass | ObjectClass属性はオプションです。この属性が指定されている場合は、許可エントリのオブジェクト クラスに名前を付け、単語ObjectClassを検索に含めます。この属性を省略すると、単語ObjectClassは検索フィルタに含まれません。 ObjectClass "group"にはオプションのメンバー属性(MemberAttribute)があります。ObjectClass "groupOfNames"には少なくとも1人のユーザー名が必要なメンバー属性があります。別のObjectClassは、一度に1つの名前だけを表示できる"uniqueMember"というメンバー属性を持つ"groupOfUniqueNames"です。 ObjectClassを設定しないと、デフォルトでmemberAttributeが"member"に、ObjectClassが"groupOfNames"に設定されます。Active Directory、ADAM、およびAD LDSの場合、ObjectClassは"group"に設定されます。 オブジェクト クラス名が存在する場合、生成される検索フィルタは次の形式になります: (&(member-attribute-name=dn-of-principal)(objectClass=object-class-name)) オブジェクト クラス名が存在しない場合、生成される検索フィルタは次の形式になります: (member-attribute-name=dn-of-principal) |
| NamingAttribute | NamingAttribute属性はオプションです。この属性の値は外部ロール名を含むディレクトリ エントリの属性の名前を指定します。これは返される属性をこの1つの属性に限定するために使用されます。省略すると、デフォルトで"cn"になります。属性に複数の値が含まれている場合、すべての値が許可ロールの候補になります。属性が存在しない場合(値を持たない場合)、含まれているエントリは無視されます。 |
| AuthSearchMap | AuthSearchMap要素はオプションです。必要な数だけAuthSearchMap要素を構成します。<AuthSearchMap>のMatch属性とPattern属性は不要なグループ名を除外するために使用されます。ディレクトリから返されたグループ名が正規表現パターンに従って完全に表現できない場合、破棄されます。一致する場合、外部ロールはPattern属性の置換パターンに従って抽出されます。<AuthSearchMap>要素が対応する<AuthSearch>要素にない場合、グループ名はそのまま外部ロールとして使用されます。 |
編集ガイドライン
- 値を設定するには、その値を必要としているメカニズムにあるTdgssUserConfigFile.xmlにこのプロパティを手動で追加する必要があります。構成ファイルの編集についてを参照してください。
- 0個以上の<AuthSearch>要素が、<LdapConfig>セクションの<Canonicalizations>エリアに、または<MechanismProperties>要素の子として配置されます。どちらの場合も、<AuthSearch>は<IdentitySearch>要素および<IdentityMap>要素と兄弟の関係です。
- <IdentitySearch>および<IdentityMap>と同様に、必要な数だけ<AuthSearch>要素を構成内に配置できます。これらの要素は適切なセクションならばどこにでも配置できます。<IdentitySearch>要素や<IdentityMap>要素の前後、または<IdentitySearch>要素および<IentityMap>要素と交互に配置することができます。
- 構成中にLdapSystemFQDN属性を設定する必要はありません。設定されても、<AuthSearch>が存在する場合は無視されます。
- メカニズムに対してUseLdapConfig = "yes"の場合、構成ファイルの<LdapConfig>セクションに<AuthSearch>エントリを含める必要があります。この機能を使用するには、LdapServiceFQDNプロパティおよびLdapServicePasswordプロパティの値を指定する必要があります。また、<IdentitySearch>要素や<IdentityMap>要素を使用してユーザーIDを検出する必要があります。LdapServiceFQDNとパスワードはユーザーの正規化に使用されます。正規化の後、認証の前に、許可をサービス バインドを使用して取得します。すべての権限エントリ(ロール)がロールリストに追加されます。ロール リストは認証が成功した後に返されます。これらのロールはデータベース ログオンに使用されます。