LDAP設定方法

Liferay DXPはLDAPをユーザーストアとしてサポートしています。[インスタンス設定]へ行き、[認証]ページにある [LDAP]タブで、Liferay DXPがLDAPディレクトリに接続できるように設定します。 それによりユーザーをLDAPからLiferay DXPにインポート、そしてLiferay DXPからLDAPにエクスポートできます。お客様の環境で、ユーザー情報をLDAPサーバーに保存している場合は、ユーザーおよび管理者にとっても、LDAPユーザー情報をLiferay DXPにインポートする方法が有益です。この記事では Liferay DXPをLDAPサーバーに接続する方法、インポート/エクスポート設定方法、その他LDAP関連の構成設定を説明します。

Liferay DXPのLDAP設定

Liferay DXPのLDAP設定へアクセスするには、[Control Panel] → [Configuration] → *[Instance Settings]へ行き、画面下へスクロールし、[Authentication]*セクションのフォームを開きます。LDAPタブに行きます。このフォームを使って、Liferay DXPをLDAPディレクトリへ接続します。

認証のページのLDAPタブから、グローバル値を設定します。

Enabled:このボックスにチェックを入れて LDAP 認証を有効にします。

Required:LDAP認証が必要な場合は、このボックスにチェックを入れます。LDAPディレクトリと正常にバインドできない場合は、Liferay DXPにログインできません。ユーザーがすでにLiferay DXPアカウントを作成済みでも、LDAPアカウントを持っていない場合は、このボックスのチェックを外します。

Method: [Bind](デフォルト)または*[Password Compare]*を選択します。Bindは標準のLDAPバインドを行います。Password Compareでは、以下のフィールドで指定されている暗号化アルゴリズムを使用してLiferayパスワードとLDAPパスワードを比較します。パスワード比較はめったに使用されません。

パスワード暗号化アルゴリズム: [Password Compare]を利用する場合、保存データを正しく比較できるよう、LDAPサーバーがパスワードを暗号化するのに利用する暗号化アルゴリズムを選択してください。この方法を利用することはほとんどありません。

LDAP Servers: Liferay DXPは複数のLDAPサーバの接続をサポートしています。この下にある*[Add]* ボタンを使い、 LDAPサーバーを追加します。各LDAPサーバーはそれぞれ設定オプションがあります。

Import/Export:LDAPディレクトリからユーザーデータのインポートまたはエクスポートするには下記のオプションがあります。

Enable Import: LDAPディレクトリからユーザーの同期を有効にします。一度にすべてインポートされるのではなく、ユーザーのログイン時にユーザーの同期を行います。

Enable Import on Startup:Liferay DXPにLDAPディレクトリの大量インポートさせるには、このボックスにチェックをいれます。デフォルト設定は、ユーザーのログイン時にユーザーの同期を行います。デフォルトのままにするには、このボックスのチェックを外します。クラスタ環境を使用している場合は、必ずこのチェックを外してください。そうでないと起動時に各ノードが大量インポートを実行してしまいます。

Import Interval: 一括インポート中に、一度にインポートをするユーザー数を指定できます。

Import Method: ユーザーまたはグループを設定します。これをUserに設定すると、Liferay DXPはLDAPツリーの指定された部分からすべてのユーザーをインポートします。これをGroupに設定すると、Liferay DXPはすべてのグループを検索し、各グループのユーザーをインポートします。 どのグループにも属していないユーザーがいる場合は、インポートされません。

Lock Expiration Time: LDAPユーザーのインポートのアカウントロック有効期限を設定します。デフォルトは1日です。

Import User Sync Strategy: ユーザーアカウントを同期するための戦略を設定します。 オプションはAuth Type(ユーザーが画面名のように認証する方法)とUUID(LDAPのUUID属性が必要)です。

Enable User Password on Import: ユーザーをインポートする際にデフォルトのパスワード(下記参照)を割り当て、2つのシステム間で同期させることができます。

Autogenerate User Password on Import: ユーザーのインポート時にランダムなパスワードを作成します。

Default User Password: LDAPを使用して最初にログインしたときにユーザーが割り当てられるデフォルトのパスワードを入力します。

Enable Group Cache on Import: データベースアクセスによってインポートが遅くならないように、インポートされたグループをキャッシュします。

Create Role per Group on Import: すべてのLDAPグループに対して、対応するLiferayロールを作成します。

Enable Export: ユーザーアカウントをLDAPにエクスポートするには、このチェックボックスをオンにします。リスナーは、Userオブジェクトに加えられた変更を追跡し、Userオブジェクトが変更されるたびにLDAPサーバーへの更新をプッシュします。デフォルトでは、ログインごとに、lastLoginDate更新される等のフィールドがあります。エクスポートが有効になっていると、ユーザーがログインするたびにlastLoginDateユーザーがエクスポートされます。portal-ext.propertiesファイルに次のプロパティを設定することで、ユーザーのフィールドの更新がLDAPユーザーのエクスポートをトリガーできないようにすることができます。

users.update.last.login=false

Enable Group Export: グループをLDAPにエクスポートします

Use LDAP Password Policy: Liferay DXPはデフォルトで独自のパスワードポリシーを使用します。 これは、コントロールパネルの[パスワードポリシー]ページで設定できます。LDAPディレクトリで定義されているパスワードポリシーを使用する場合は、[LDAPパスワードポリシーを使用する]のチェックボックスをオンにします。これを有効にすると、[パスワードポリシー]タブには、ローカルパスワードポリシーを使用していないことが示されます。パスワードポリシーを設定するには、LDAPディレクトリのメカニズムを使用する必要があります。Liferay DXPはこれらのポリシーを強制することはできません。できることは、LDAPサーバーから返されたメッセージを通過させることです。これは、サーバーが返すLDAPコントロール内のメッセージを解析することで行います。デフォルトでは、Liferay DXP はFedora Directory Serverから返されたメッセージを解析するように設定されています。別のLDAPサーバーを使用する場合は、[システム設定][セキュリティー][LDAP] → *[接続]*でメッセージをカスタマイズする必要があります。

LDAPの設定が完了したら、*[保存]*ボタンをクリックします。

[システム設定]で利用可能なLDAP オプション

ほとんどのLDAP設定はインスタンス設定から行うことが可能ですが、[システム設定]のみで利用可能なパラメータがいくつかあります。

これらのオプションを変更したい場合は、* [コントロールパネル]* > [設定] > *[システム設定]へ行き、[セキュリティ]*セクションからLDAPが付いたタイトルを探します。

*[Connection]エントリを使用して、[Error password age keywords]のようなエラープロパティを管理します。これにより、LDAPサーバによって返される可能性のあるエラーメッセージからフレーズリストを設定できます。ユーザーがLDAPにバインドすると、サーバーは[コントロール]*を返しますが、その成功または失敗の応答を示します。これらのコントロールには、エラーを説明するメッセージまたは応答と共に返される情報が含まれます。コントロールはLDAPサーバー間で同じですが、メッセージは異なる可能性があります。ここで説明するプロパティには、これらのメッセージのスニペットが含まれており、Red HatのFedora Directory Serverで動作します。そのサーバーを使用していない場合、スニペットという単語はLDAPサーバーでは機能しない可能性があります。そうでない場合は、これらのプロパティの値をサーバーのエラーメッセージのフレーズに置き換えることができます。これにより、Liferay DXPはそれらを認識することができます。

要約すると、Liferay DXPをLDAPと設定するには、インスタンス設定からではなく、LDAPの[システム設定]項目を使用します。

次は、LDAPサーバーの接続を追加する方法についてです。

« 認証ベリファイアLDAPサーバーの追加 »
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています