LDAP接続の追加または編集
ディレクトリー サービスで使用する必要があるLightweight Directory Access Protocol (LDAP)グループのプロパティを追加または編集します。DNSまたは手動のいずれかの方法を使用して、ドメイン コントローラーを選択します。
前提条件
LDAPユーザーで
RSA SecurID認証が必要な場合は、LDAPグループがRSAサーバーと統合されていることを確認します。
手順
-
の順にクリックして、追加 をクリックします。
-
ディレクトリー サービスへの接続ダイアログ ボックスで、ディレクトリーのタイプとしてLDAPを選択します。
-
ディレクトリー名ボックスに、LDAPディレクトリーの名前を入力します。
-
ドメイン コントローラーの参照方法を選択します。
- DNS:メソッドボックスに、ドメイン コントローラーのDNSのクエリのためのドメイン名を入力します。
- 手動:メソッドボックスに、ドメイン コントローラーのFQDNまたはIPアドレスを入力します。複数のサーバーがある場合は、最大3台のサーバーをカンマ区切りリストで指定できます。
-
LDAPバインド識別名(DN)とパスワードを入力します。
注:AD LDSには、匿名のバインドはサポートされません。
-
詳細オプションセクションの場合:
-
デフォルトでは、サーバー ポートフィールドにLDAPポート番号636が入力されます。変更するには、ポート番号を入力します。
注:サポートされているのはLDAPSポートのみです。
-
サーバの LDAP 設定に一致させるには、検索するグループベース DN を入力します。
-
ユーザー ログインの属性フィールドに、LDAPシステムですでに構成されているユーザー属性を入力します。この値は選択されたベースDN内で一意であることを推奨します。そうでない場合は、一意になるように検索フィルターを指定してください。
注:
- ユーザー属性は、ディレクトリー サービスの統合前に、クエリに使用されるLDAPシステムで設定する必要があります。
- ユーザー属性の入力は、AD LDS設定の場合はcnまたはsAMAccountNameとし、LDAP設定の場合はUIDとします。
- 属性と検索フィルターを使った検索の組み合わせで複数のユーザーDNが見つかる場合、ログイン操作は失敗します。
-
グループメンバーシップの属性 ボックスに、グループとメンバーの情報をディレクトリに保存する属性を入力します。
-
ネットワーク タイムアウト時間と検索タイムアウト時間を秒単位で入力します。サポートされているタイムアウト時間の最大値は300秒です。
注:複数のドメイン コントローラーで手動検索を使用するときにタイムアウトを回避するには、検索タイムアウト値の合計がネットワーク タイムアウト値を超えないようにします。たとえば、3つのドメイン コントローラーのリストがあり、ネットワーク タイムアウト値が300秒の場合、検索タイムアウトが100秒を超えないようにします。
-
SSL 証明書をアップロードするには、証明書の検証 を選択し、ファイルの選択 をクリックします。Base64フォーマットでエンコードされたルートCA証明書を使用する必要があります。
接続のテストボタンが有効になります。
-
接続のテストをクリックして、接続先ドメインのバインド ユーザー認証情報を入力します。
注:接続のテストを行う場合は、テスト ユーザー名に、事前に入力したユーザー ログインの属性が使用されていることを確認してください。
-
接続のテストをクリックします。
ディレクトリー サービス情報ダイアログ ボックスに、正常に接続したことを通知するメッセージが表示されます。
-
OKをクリックします。
-
終了をクリックします。
タスクの結果
ジョブの作成と実行により、ディレクトリー サービス リストに目的のディレクトリーが追加されます。
ディレクトリサービスで使用する LDAP グループの編集
- ディレクトリー名列で、ディレクトリーを選択します。ディレクトリサービスプロパティが右ペインに表示されます。
- 編集をクリックします。
- ディレクトリー サービスへの接続ダイアログ ボックスでデータを編集し、終了をクリックします。データはアップデートされ、保存されます。