LDAP ドメインのプロパティー
作成された LDAP ドメインのプロパティーを編集するには、次のようにします。
- と選択します。
- 編集するドメインを選択します。
LDAP ドメインのプロパティー・パネルにプロパティーが表示されます。
- 任意のフィールドの値を編集して、「保存」をクリックします。
次のフィールドは必須です。
- 名前
- ホスト
- ユーザー・アカウントのバインド
- プロトコル
- 表示名
- 識別名
- メール
- 検索フィルター
- そのドメインをデフォルトとして使用することを指定するには、「デフォルトの設定」をクリックします。
- 名前
- これは必須です。Build Forge 内の LDAP ドメインの名前です。 少なくとも 1 つの LDAP ドメインが構成されている場合、Build Forge のログイン・フォームにそれらのドメインがこの名前でリストされます。
- 管理識別名
- LDAP サーバー・データベースに検索アクセスを行うために使用するアカウントです。
サーバーで、データベースの検索に匿名バインドを使用することが許可されている場合は、
このフィールドをブランクのままにしてください。
LDAP サーバーの中には、データベースを検索するために管理バインドを必要とするものがあります。この設定を行うと、次の例に示すように、管理者アカウントの DN を指定できます。
cn=Administrator,cn=users,dc=example,dc=com
「管理識別名」アカウントのパスワードを「パスワード」フィールドおよび「パスワードの確認」フィールドに指定してください。
- アクセス・グループのマップ
- LDAP サーバーから管理コンソール内のアクセス・グループにグループ情報をマップするかどうかを決定します。
デフォルトは「いいえ」です。Build Forge 内の各アクセス・グループの「LDAP グループ識別名」プロパティーが、LDAP 内の正しいグループ名に設定されている必要があります。
- 「いいえ」の場合、LDAP のグループは Build Forge のアクセス・グループにマップされません。 Build Forge のアクセス・グループに割り当てることができるのは、少なくとも 1 回はログインしたユーザーです。 このオプションを使用するということは、Build Forge 内でユーザーのアクセス・グループを管理するということです。 ユーザーが最初にログインする際、そのユーザーの名前が Build Forge 内で作成されたものである場合には、デフォルトのアクセス・グループが適用されます。
- 「はい」の場合は、あるユーザーが Build Forge にログインするたびに、Build Forge は、
そのユーザーのグループ・メンバーシップ情報を LDAP サーバーから更新します。
前回のログイン以降に、Build Forge 内のそのユーザーに対して実行されたアクセス・グループ・メンバーシップの変更はすべて上書きされます。
このオプションを使用するということは、すべてのグループ・メンバーシップを LDAP 内で管理するということです。
LDAP のグループ・メンバーシップが、Build Forge のアクセス・グループに自動的にマップ (追加または除去) されます。
グループのプロパティーを次のように使用することで、ユーザーのグループ・メンバーシップを判別します。
- 「グループ名」がブランクでない場合は、指定されたキーワードの値を照会します。 ユーザーのグループとして返された値を使用してください。
- 「グループ名」がブランクであるか、その照会で値が返されない場合は、「グループ検索基準」および「グループ検索フィルター」を使用して、そのユーザーが属する LDAP グループを照会してください。
- (1) および (2) でグループ情報が返されない場合、そのユーザーには、ログインの許可が与えられているほか、新規ユーザー用のデフォルト・アクセス・グループとして指定されたアクセス・グループのメンバーシップが割り当てられています。
- ホスト
- これは必須です。LDAP サーバーのホスト名およびポートです。
例:
ldapserver.mycompanyname.com ldap.mycompany.com:9000
- パスワード
- 「管理識別名」アカウントのパスワードです。 「管理識別名」を指定する場合には必須です。
- パスワードの確認
- 「管理識別名」のパスワードの入力を繰り返します。
- ユーザー・アカウントのバインド
- これは必須です。ログイン時に Build Forge が LDAP に対してユーザーの資格情報の検証を試行するかどうかを決定します。
デフォルトは「はい」です。
- 「はい」の場合、Build Forge は、ログイン時に指定されたユーザー名とパスワードを LDAP サーバーで検査します。
- 「いいえ」の場合、Build Forge はユーザー名を検証せずに受け入れます。 この設定は、Build Forge にシングル・サインオン (SSO) などの外部パスワード検証が実装されている場合に使用します。
- プロトコル
- これは必須です。Build Forge ユーザーを認証する目的でディレクトリー・サービスのデータを読み書きするために Build Forge が使用するプロトコルを指定します。 デフォルトは LDAP です。 SSL を介した LDAP (LDAPS) を使用する場合には、LDAPS を入力します。 このオプションには、追加のセットアップが必要です。 『セキュア LDAP (LDAPS) の使用可能化』を参照してください。
- 表示名
- これは必須です。ユーザーの氏名を示すキー名を入力します。
- 識別名
- これは必須です。ユーザー・アカウントの識別名を示すキー名を入力します。
- メール
- これは必須です。ユーザーの E メール・アドレスを示すキー名を入力します。
- グループ名
- ユーザーが所属するグループのリストを保持する、LDAP スキーマ内のキー名を入力します。 「アクセス・グループのマップ」が「はい」の場合、または「認証済みグループ識別名」が使用されている場合にのみ使用されます。
- 認証済みグループ識別名
- LDAP グループの識別名です。 これが設定されている場合は、指定されたグループのメンバーのみがログインを許可されます。 ブランクの場合は、すべての 有効な LDAP ユーザーがコンソールにログインできます。
- 書き込みアクセス・グループ識別名
- ユーザーのアクセス権限が通常か読み取り専用かを判別します。値は以下のいずれかです。
- ブランク - 新規ログインの場合、ユーザー・タイプは「通常」に設定されます。既存のユーザーの場合は、割り当てられているユーザー・タイプ (「通常」、「読み取り専用」、または「API」) が保持されます。タイプは、 で設定します。
- * (アスタリスク) - すべてのログインで「通常」のユーザー・タイプが使用されます。
- LDAP グループ名 - ユーザーがグループに属している場合、そのユーザーのタイプは「通常」に設定されます。ユーザーがグループに属していない場合、そのユーザーのタイプは「読み取り専用」に設定されます。
- その他 - 上記以外の値を使用して、すべてのユーザーのタイプを強制的に「読み取り専用」に設定します。 例えば、RO などです。
- 検索基準
- これは必須です。LDAP レコードにユーザーを照会する際に使用される検索ストリングです。
例:
cn=users,dc=buildforge,dc=com
- 検索フィルター
- これは必須です。ログイン時にユーザーが入力するユーザー名と比較する、LDAP データベース内のフィールドを指定します。
ユーザーが入力するログイン名には、% 文字を使用してください。
例:
(sAMAccountName=%)
- グループ検索基準
- 「グループ検索フィルター」が必須です。
「アクセス・グループのマップ」が「はい」の場合、または「認証済みグループ識別名」が使用されている場合にのみ使用されます。LDAP レコードにグループ・データを照会する際に使用される検索ストリングです。
ご使用の LDAP データベースが、ユーザー・レコードの保管に使用するデータベースとは別のデータベースにグループ・メンバーシップを保管している場合に必要です。
例:
cn=groups,dc=buildforge,dc=com
- グループ検索フィルター
- 「グループ検索基準」が必須です。
「アクセス・グループのマップ」が「はい」の場合、または「認証済みグループ識別名」が使用されている場合にのみ使用されます。グループ・メンバーシップ情報を取得する際に使用する、LDAP ユーザー・データベース内のフィールドを指定します。
このフィルターは、ユーザー・アカウントの任意のデータ・フィールドを、グループ・テーブルを調べるためのキーとして使用することができます。
フィールドは、%fieldname% という構文を使用して指定します。グループ・テーブルでユーザーのキーとして sAMAccountname フィールドを使用する場合は、次の例のようにすると機能します。
sAMAccountName=%sAMAccountname%