1.概要
1.1 バージョン
サーババージョン | マルチドメインLDAP認証プラグインのバージョン |
11.0 | V1.0 |
1.2 応用シーン
ユーザ情報は複数のLDAP認証サーバに記憶され、管理者はFineReportポータルでプラグインを使用して複数ドメインのLDAP認証を実現できます。
1.3 機能紹介
「複数ドメインのLDAP認証」プラグインをインストールすることで、複数のADドメインを同時に接続してLDAPログイン認証を行うことができます。
注1:スーパー管理者はLDAP認証の影響を受けず、FineReportポータルのビルドイン認証を使用します。
注2:異なるドメインに同じユーザ名のユーザが存在する場合、それぞれのパスワードを使用してFineReportポータルにログインできますが、同じポータルアカウントを共有する必要があります。
注3:「複数ドメインのLDAP認証」が設定されている場合、プラグインを無効にすると、自動的に「組み込み認証」に切り替わります。プラグインを再度有効にすると、「複数ドメインのLDAP認証」の設定は保持されます。
2.例
2.1 プラグインインストール
プラグインをダウンロード:複数ドメインのLDAP認証
プラグインのインストール方法:プラグインのインストール
2.2 複数ドメインのLDAP認証の設定
1)管理者はFineReportポータルにログインし、「システム>ユーザ管理>グローバル設定」をクリックし、「複数ドメインのLDAP認証」を追加します。次の図のようになります。
2)認証方法は「複数ドメインのLDAP認証」を選択します。
「追加」ボタンをクリックし、各パラメータを入力し、「接続をテストと保存」ボタンをクリックすると、ADドメインのURLを追加できます。
全ての追加が完了したら、「保存」ボタンをクリックして、FineReportポータルをログアウトして再登録する必要があります。次の図のようになります。
LDAP設定時の各パラメーターの説明は次の表の通り:
パラメータ項目 | 説明 |
URL | URLは、LDAPサーバへの入り口です。URLは、ドメイン名又はIPとポート番号で構成されます。通常、ポート番号はデフォルトで389です。URLの形式:LDAP://ドメイン名又はIP+ポート番号 |
検索位置 | LDAPはツリー構造でデータを保存するサーバであり,URLによってサーバにアクセスし、ユーザ名とパスワードによって認証された後、関連する登録情報を検索し、「検索位置」はその登録情報を保存する位置です。
|
認証方法 | LDAPディレクトリサーバで使用する認証タイプを指定し、LDAPサーバの設定に応じて選択し、一般認証方法では「simple」を選択します。
|
前後関係 | 初期コンテキストファクトリのクラス名 通常「com.sun.jndi.ldap.LdapCtxFactory」を選択‐LDAPサーバーベースのディレクトリサービスの場合 |
転診 | LDAPサーバの設定によって選択します。通常は「ignore」を選択します。 |
ユーザ名のサフィックス | ユーザ名のサフィックスは追加してもしなくてもよく、追加すると、ログイン時に自動的に対応するドメイン名が追加されます。 例えば、LDAPサーバにAlice@fanruan.comというユーザがいて、ユーザ名のサフィックスが@fanruan.comに設定されているとします。 では、FineReportポータルにおけるユーザ名はAliceであり、FineReportポータルにログインする際のユーザ名もAliceです。 |
管理者名/パスワード | ここでの管理者名とは、LDAPサーバの管理者名ではなく、LDAPサーバの検索権限を持つユーザを指します。このユーザがLDAPサーバに入って検索位置をログイン情報検索することで認証が行われます。 通常、ここでは「ドメイン名/ユーザ名」という方式で識別します。uidでもcnでもどちらでも構いませんが、DNドメイン名を使わない書き方が一般的です。
|
2.3 管理ポータルユーザ追加
LDAPサーバには一般的にユーザのスタッフリストが保存されており、その中のあるユーザが管理ポータルでLDAP認証を使用してログインできるようにするには、管理ポータルにも同名のユーザを追加する必要があります。メールボックスのバインド、権限の付与などのポータル操作は、管理ポータルユーザを対象としているからです。管理ポータルに対応するユーザが存在する場合、複数ドメインのLDAP認証を有効にするのは、そのポータルのユーザのパスワード認証をデフォルトの管理ポータルビルドイン認証からLDAPサーバ認証に変更しただけと考えられます。
次の図に示すように、「システム>ユーザ管理>ユーザ追加」をクリックして、ユーザ「test001」を追加します。
注1:複数ドメインのLDAP認証で「ユーザ追加」を設定する場合、パスワードの設定は不要です。
注2:同期されたユーザ、インポート/追加されたユーザは、それぞれ異なる認証方式を選択できます。
2.4 効果確認
ユーザはLDAPサーバに記憶されたユーザ名、LDAPサーバのパスワードを入力し、あるドメインのLDAP認証が成功し、かつ対応するユーザが管理ポータルユーザの中に存在すれば、認証が成功したと判断され、FineReportポータルに入ることができ、そのユーザの管理ポータルにおける権限によって相応の操作を行います。次の図のようになります。
管理ポータルの同期されたユーザは、設定された同期LDAPの複数のドメインに対して有効になります。あるユーザが管理ポータルの同期されたユーザに存在する場合、ログイン時に認証が成功するまでこれらのドメインを1つずつループします。存在しない場合は、ユーザ名又はパスワードのエラー報告が終わるまでループを継続、ログインに失敗します。
手動で追加/インポートされたユーザは、設定された組み込みのLDAP複数ドメインにも適用されますが、同期されたLDAP複数ドメインとは別々に設定されます。
注1:異なるドメインに同じユーザ名のユーザが存在する場合、それぞれのパスワードを使用してFineReportポータルにログインできますが、同じポータルアカウントを共有する必要があります。
注2:入力したユーザ名が管理ポータルに存在しない場合、又は管理ポータルで対応するユーザが無効になっている場合、又は管理ポータルの使用ユーザ制限が有効になっていてユーザが含まれていない場合、LDAPサーバと通信せず、「ユーザ名又はパスワードが間違っています」又は「ユーザが使用できません」というメッセージが表示されます。
注3:あるドメインのLDAP認証に失敗した場合、そのドメインのユーザはFineReportポータルにログインできず、他のドメインのユーザに影響を与えません。
注4:LDAPサーバに記憶されているユーザ名には、日本語、繁体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。
LDAPサーバに記憶されているパスワードには、日本語、繁体字中国語、簡体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。