LDAP 認証の構成

Infor Ming.leDashboards にアクセスする場合は、IFS 認証が使用され、LDAP 認証は使用できません。

Infor Ming.le 環境で LDAP を使用するには、Service Expert で認証を LDAP に設定する必要があります。LDAP を構成するには、[リポジトリ] ダッシュボードを使用して、必要なすべての LDAP 認証プロバイダ設定を入力します。LDAP 認証を構成した後、LDAP ユーザーとグループを登録できます。
注: 

リポジトリで LDAP 認証を登録した後でも、基本ユーザーを使用してサインインすることはできます。基本ユーザー認証でサインインするには、ユーザー名の先頭に basic: を付ける必要があります。

  1. [Dashboards] > [ファーム管理] > [リポジトリ] を選択します。
  2. [認証プロバイダ設定] ウィジェットで、[LDAP] を選択します。
  3. LDAP の [設定] アイコンをクリックします。
  4. [一般] タブをクリックして、次の情報を指定します。
    サーバー名
    LDAP ディレクトリが実装されているサーバーの一意のサーバー名または IP アドレスを指定します (例: [myldapserver])。
    ポート
    LDAP サーバーのポート番号を指定します。
    ルートディレクトリ
    ルートディレクトリの一意の名前を指定します (例: [dc=mysubdomain,dc=mydomain])。LDAP 構造の複数のルートをセミコロン (;) で区切って指定できます。
    ユーザー名とパスワード
    ディレクトリにアクセスするユーザー名とパスワードを指定します。
  5. [ユーザー] タブをクリックして、次の情報を指定します。
    フィルター
    LDAP ディレクトリ内の他のオブジェクトからユーザーを区別するための情報を指定します。たとえば、[(&(objectcategory=person)(objectclass=user))] と入力します。
    グループのメンバーシップ
    グループのメンバーシップをアクティブ化するには、このチェックボックスをオンにします。
    グループメンバーシップ
    [グループのメンバーシップ] が選択されていない場合は、ユーザーのグループメンバーシップを格納する属性タイプの名前を指定します。たとえば、[memberof] と入力します。
    ユーザー名
    ユーザー名を格納する属性タイプの名前を指定します。たとえば、[account_name] と入力します。
    ユーザー ID
    ユーザーの一意の ID を格納する属性タイプの名前を指定します。たとえば、[objectsid] と入力します。
    ユーザー説明
    必要に応じて、ユーザーの説明を格納する属性タイプの名前を指定します。
  6. [グループ] タブをクリックして、次の情報を指定します。
    フィルター
    LDAP ディレクトリ内の他のオブジェクトからグループを区別するための情報を指定します。たとえば、[objectclass=group] と入力します。
    ユーザーメンバーシップ
    グループに所属するユーザーを格納する属性タイプの名前を指定します。たとえば、[member] と入力します。
    グループ名
    グループ名を格納する属性タイプの名前を指定します。たとえば、[group_name] と入力します。
    グループ ID
    一意のグループ ID を格納する属性タイプの名前を指定します。たとえば、[group_id] と入力します。
    グループ説明
    必要に応じて、グループの説明を格納する属性タイプの名前を指定します。
  7. [認証] タブをクリックし、以下の認証オプションの 1 つまたは複数を選択します。
    基本認証 (簡易バインド)
    LDAP 認証プロバイダで基本認証を使用するには、このチェックボックスをオンにします。基本認証が選択されている場合、他の認証オプションは無効になります。
    セキュア

    保護された認証を要求します。このチェックボックスをオンにした場合、WinNT プロバイダは、クライアントの認証に NTLM を使用します。Active Directory Domain Services は、Kerberos または NTLM を使用してクライアントを認証します。ユーザー名とパスワードが NULL 参照 (Visual Basic では Nothing) の場合、ADSI は、呼び出しスレッドのセキュリティコンテキストを使用してオブジェクトにバインドします。この接続では、次のいずれかになります。

    • アプリケーションを実行しているユーザーアカウントのセキュリティコンテキスト
    • 呼び出しスレッドが偽装 (impersonate) しているクライアントユーザーアカウント
    • [暗号化]: Kerberos を使用してデータを暗号化します。
    • [署名]: 受信したデータが、送信されたデータと同じであることを確認するために、データの整合性を検証します。
    匿名
    認証は行われません。
    SSL を使用
    暗号化した署名をメッセージに添付し、送信者を特定すると同時に、転送中にメッセージが改ざんされていないことを保証します。
    最初のバインド
    ADSI が、Active Directory Domain Services の objectClass プロパティを照会しないように指定します。したがって、すべての ADSI オブジェクトでサポートされる基本インターフェイスのみがエクスポートされます。それ以外の、オブジェクトでサポートされないインターフェイスは使用できません。ユーザーは、このオプションを選択することで、基本インターフェイスの方式のみを使用する一連のオブジェクト操作のパフォーマンスを高めることができます。ADSI は、要求オブジェクトがいずれもサーバーに存在するかどうかを確認しません。
    サーバーのバインド
    ADsPath にサーバー名が含まれている場合、LDAP プロバイダを使用するときにこのチェックボックスをオンにします。ドメイン名を含むパス、またはサーバーレスパスの場合は、このチェックボックスをオンにしないでください。このチェックボックスをオンにせずにサーバー名を指定すると、不要なネットワークトラフィックを引き起こします。
    委任
    ADSI (Active Directory Services Interface) にユーザーのセキュリティコンテキストをデリゲートできるようにします。これは、ドメイン間でオブジェクトを移動するために必要です。
    読み取り専用サーバー
    WinNT プロバイダの場合、ADSI はドメインコントローラへの接続を試行します。Active Directory Domain Services でこのチェックボックスをオンにした場合は、サーバーレスバインドに書き込み可能なサーバーが不要であることを示します。
  8. [OK] をクリックします。