ldapRegistry - LDAP ユーザー・レジストリー (ldapRegistry)

LDAP ユーザー・レジストリーの構成プロパティー。

NameTypeDefaultDescription
idstring固有の構成 ID。
hoststringIP アドレスまたはドメイン・ネーム・サービス (DNS) 名の形式による LDAP サーバーのアドレス。
portintLDAP サーバーのポート番号。
baseDNstringディレクトリー・サービスの基本識別名 (DN)。これは、ディレクトリー・サービスでの LDAP 検索の開始点を表します。
ldapType
  • IBM SecureWay Directory Server
  • Microsoft Active Directory
  • Novell eDirectory
  • IBM Lotus Domino
  • Netscape Directory Server
  • Custom
  • Sun Java System Directory Server
  • IBM Tivoli Directory Server
接続を確立する LDAP サーバーのタイプ。
IBM SecureWay Directory Server
IBM SecureWay Directory Server を使用するように LDAP レジストリーを構成します。
Microsoft Active Directory
Microsoft Active Directory を使用するように LDAP レジストリーを構成します。
Novell eDirectory
Novell eDirectory を使用するように LDAP レジストリーを構成します。
IBM Lotus Domino
IBM Lotus Domino を使用するように LDAP レジストリーを構成します。
Netscape Directory Server
Netscape Directory Server を使用するように LDAP レジストリーを構成します。
Custom
カスタム LDAP サーバーを使用するように LDAP レジストリーを構成します。
Sun Java System Directory Server
Sun Java System Directory Server を使用するように LDAP レジストリーを構成します。
IBM Tivoli Directory Server
%ldapType.ibm_dir_server
realmstringLdapRegistryユーザー・レジストリーを表すレルム名。
bindDNstringアプリケーション・サーバーの識別名 (DN)。これは、ディレクトリー・サービスへのバインドに使用されます。
bindPasswordリバース・エンコードされたパスワード (ストリング)バインド識別名のパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードはエンコードするようにお勧めします。 エンコードするためには、securityUtility ツールでエンコード・オプションを指定します。
ignoreCasebooleantrue大/小文字を区別しない認証チェックを実行します。
recursiveSearchbooleanfalseネスト・グループ検索を実行します。 このオプションは、LDAP サーバーが再帰的サーバー・サイド検索をサポートしない場合のみ、選択してください。
reuseConnectionbooleantrueアプリケーション・サーバーに LDAP サーバー接続を再使用することを要求します。
sslEnabledbooleanfalseLDAP サーバーへの SSL 接続を確立するかどうかを示します。
sslRef最上位の ssl エレメント (ストリング) の参照。SSL 使用可能 LDAP サーバーに接続するために使用される SSL 構成の ID。
searchTimeout期間 (精度: ミリ秒)1m要求が取り消されない限り、LDAP サーバーの応答を待つ最大時間。 これは、接続の確立後は、読み取りタイムアウトに相当する時間となります。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
connectTimeout期間 (精度: ミリ秒)1mLDAP サーバーとの接続を確立する場合の最大時間。 指定された時間が経過すると、プログラムはエラー・メッセージをログに記録します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
certificateMapMode
  • EXACT_DN
  • CERTIFICATE_FILTER
EXACT_DN または CERTIFICATE_FILTER によって x.509 certificate を LDAP ディレクトリーにマップするかどうかを指定します。 指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。
EXACT_DN
プログラムは、X.509 証明書の PrincipalName 値をリポジトリー内の完全一致の識別名 (DN) にマップして、ログインを試行します。一致するエンティティーが見つかった場合は、ログインは成功します。一致するエンティティーが見つからない場合は、ログインは失敗し、プログラムはエンティティーが見つからないことを示すエラーを返します。
CERTIFICATE_FILTER
プログラムは、LDAP フィルターのフィルター証明書マッピング・プロパティーを使用して、ログインを試行します。単一の一致するエンティティーが見つかった場合は、ログインは成功します。一致するエンティティーが見つからない場合は、ログインは失敗し、プログラムはエラーを返します。2 個以上の一致するエンティティーが見つかった場合は、結果が未確定の一致のためログインは失敗し、プログラムはエラーを返します。
certificateFilterstringLDAP フィルターのフィルター証明書マッピング・プロパティーを指定します。 このフィルターは、クライアント証明書内の属性を LDAP レジストリー内のエントリーにマップするために使用されます。 例えば、このフィルターを次のように指定することができます: uid=${SubjectCN}
activedFiltersRef最上位の activedLdapFilterProperties エレメント (ストリング) の参照。Microsoft Active Directory LDAP フィルターのリストを指定します。
customFiltersRef最上位の customLdapFilterProperties エレメント (ストリング) の参照。Custom LDAP フィルターのリストを指定します。
domino50FiltersRef最上位の domino50LdapFilterProperties エレメント (ストリング) の参照。IBM Lotus Domino LDAP フィルターのリストを指定します。
edirectoryFiltersRef最上位の edirectoryLdapFilterProperties エレメント (ストリング) の参照。デフォルトの Novell eDirectory LDAP フィルターのリストを指定します。
idsFiltersRef最上位の idsLdapFilterProperties エレメント (ストリング) の参照。IBM Tivoli Directory Server LDAP フィルターのリストを指定します。
iplanetFiltersRef最上位の iplanetLdapFilterProperties エレメント (ストリング) の参照。Sun Java System Directory Server LDAP フィルターのリストを指定します。
netscapeFiltersRef最上位の netscapeLdapFilterProperties エレメント (ストリング) の参照。Netscape Directory Server LDAP フィルターのリストを指定します。
securewayFiltersRef最上位の securewayLdapFilterProperties エレメント (ストリング) の参照。IBM SecureWay Directory Server LDAP フィルターのリストを指定します。
referral
  • ignore
  • follow
ignoreLDAP リフェラルの振る舞いを指定します。デフォルトの振る舞いでは、リフェラルは無視されます。
ignore
LDAP リフェラルを無視します。
follow
LDAP リフェラルに従います。
returnToPrimaryServerbooleantrue1 次サーバーを対象に検索を実行する必要があるかどうかを示すブール値。

failoverServers

LDAP フェイルオーバー・サーバーのリスト。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestringLDAP フェイルオーバー・サーバーの構成プロパティー。 1 次 LDAP サーバーに対するバックアップ・サーバーとして指定します。 例えば、<failoverServers name="failoverLdapServers"><server host="myfullyqualifiedhostname1" port="389"/><server host="myfullyqualifiedhostname2" port="389"/></failoverServers> のようにします。

failoverServers > server

LDAP フェイルオーバー・サーバーの構成プロパティー。

NameTypeDefaultDescription
idstring固有の構成 ID。
hoststringLDAP サーバー・ホスト名。これは、IP アドレスでもドメイン・ネーム・サービス (DNS) 名でもかまいません。
portintLDAP フェイルオーバー・サーバー・ポート。

activedFilters

Microsoft Active Directory LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(sAMAccountName=%v)(objectcategory=user))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(objectcategory=group))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstringuser:sAMAccountNameユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringmemberOf:memberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

customFilters

Custom LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstring*:uidユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMemberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

domino50Filters

IBM Lotus Domino LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=Person))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(objectclass=dominoGroup))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstringperson:uidユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringdominoGroup:memberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

edirectoryFilters

デフォルトの Novell eDirectory LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(cn=%v)(objectclass=Person))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(objectclass=groupOfNames))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstringperson:cnユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringgroupOfNames:memberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

idsFilters

IBM Tivoli Directory Server LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs)))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstring*:uidユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfNames:member;groupOfUniqueNames:uniqueMemberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

iplanetFilters

Sun Java System Directory Server LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(objectclass=ldapsubentry))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstringinetOrgPerson:uidユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringnsRole:nsRoleユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

netscapeFilters

Netscape Directory Server LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=inetOrgPerson))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstringinetOrgPerson:uidユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMemberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

securewayFilters

IBM SecureWay Directory Server LDAP フィルターのリストを指定します。

NameTypeDefaultDescription
userFilterstring(&(uid=%v)(objectclass=ePerson))ユーザー・レジストリーでユーザーを検索するための LDAP フィルター節。
groupFilterstring(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))ユーザー・レジストリーでグループを検索するための LDAP フィルター節。
userIdMapstring*:uidユーザーの名前を LDAP エントリーにマップする LDAP フィルター。
groupIdMapstring*:cnグループの名前を LDAP エントリーにマップする LDAP フィルター。
groupMemberIdMapstringgroupOfNames:member;groupOfUniqueNames:uniqueMemberユーザーとグループ・メンバーシップとの対応を識別する LDAP フィルター。

ldapEntityType

Person、Group、および Organizational Unit の LDAP オブジェクト・クラス、検索フィルター、検索ベース、および LDAP 相対識別名 (RDN) を構成します。例えば、Group エンティティー・タイプでは、検索フィルターは (&(ObjectCategory=Groupofnames)(ObjectClass=Groupofnames))、オブジェクト・クラスは Groupofnames、検索ベースは ou=iGroups,o=ibm,c=us のようになります。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestringLDAP エンティティー・タイプの名前。
searchFilterstringエンティティー・タイプの検索時に使用されるカスタム LDAP 検索式。 例えば、searchFilter="(|(ObjectCategory=User)(ObjectClass=User))" のようにします。

ldapEntityType > objectClass

LDAP サーバー内で特定の LDAP エンティティー・タイプ用に定義されるオブジェクト・クラス。例えば、LDAP エンティティー・タイプ group のオブジェクト・クラスは Groupofnames などにできます。

ldapEntityType > searchBase

検索操作でベース DN をオーバーライドする特定のエンティティー・タイプに対する検索呼び出し用の、LDAP サーバーのサブツリーを指定します。例えば、ベース DN が o=ibm,c=us であり、PersonAccount エンティティー・タイプの検索ベースが ou=iUsers,o=ibm,c=us と定義されるとします。この場合、PersonAccout のすべての検索呼び出しは、サブツリー ou=iUsers,o=ibm,c=us の下で実行されます。複数の検索ベースを同じエンティティー・タイプに対して構成することができます。

groupProperties

グループ・メンバーシップ・プロパティーの構成 (例: memberAttribute や membershipAttribute)。

groupProperties > memberAttribute

LDAP メンバー属性。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestringメンバーの名前。
objectClassstringメンバー属性のオブジェクト・クラス。
scopestringメンバー属性の有効範囲。
dummyMemberstringダミー・メンバーの名前。

groupProperties > membershipAttribute

メンバーシップ属性の構成。

NameTypeDefaultDescription
namestringメンバーシップ属性の名前。
scopestringメンバーシップ属性の有効範囲。

groupProperties > dynamicMemberAttribute

動的メンバー属性の構成。

NameTypeDefaultDescription
namestringメンバーの名前。
objectClassstringオブジェクト・クラスの名前。

attributeConfiguration

LDAP 属性をユーザー・レジストリー・スキーマ (例: Person、PersonAccount、Group) フィールド名にマップする構成。

attributeConfiguration > attribute

LDAP 属性にマップされるユーザー・レジストリー・スキーマ・フィールド名を定義します。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestringLDAP 属性の名前。
propertyNamestringLDAP 属性にマップされる必要のあるユーザー・レジストリー・スキーマ・フィールド名。
defaultValuestring属性のデフォルト値。
syntaxstring属性の構文。
entityTypestring属性のエンティティー・タイプ。

attributeConfiguration > externalIdAttribute

ユーザー・レジストリー externalId 属性にマップされる必要のある LDAP 属性の名前およびそのプロパティーを定義します。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestringユーザー・レジストリー externalId 属性に使用される LDAP 属性の名前。
syntaxstring属性の構文。
entityTypestring属性のエンティティー・タイプ。
autoGeneratebooleanfalse有効にすると、LDAP に保管されている値を使用する代わりに、externalId 属性値がユーザー・レジストリーによって自動的に生成されます。デフォルトでは無効になります。

contextPool

コンテキスト・プールのプロパティー。

NameTypeDefaultDescription
enabledbooleantrueコンテキスト・プールが使用可能かどうかを決定するブール値。 使用不可にした場合、パフォーマンスが低下するおそれがあります。
initialSizeint1コンテキスト・プールの初期サイズを決定する整数値。 リポジトリーの負荷に基づいて設定してください。
maxSizeint0最大コンテキスト・プール・サイズを定義する整数値。 リポジトリーの最大負荷に基づいて設定してください。
timeout期間 (精度: ミリ秒)0sコンテキスト・プールがタイムアウトになるまでの経過時間。 アイドル・コンテキスト・インスタンスが、クローズされたりプールから削除されたりせずに、プール内にとどまることができる時間を表す整数。正整数とその後に時間単位を指定します。時間単位には、時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms) が可能です。例えば、1 秒は 1s と指定します。単一エントリーに複数の値を含めることができます。 例えば、1m30s は 1.5 分に相当します。許容される最小タイムアウトは 1 秒です。ミリ秒の項目は、最も近い秒に丸められます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
waitTime期間 (精度: ミリ秒)3sコンテキスト・プールがタイムアウトになるまでの経過時間。 コンテキスト・インスタンスの数が最大プール・サイズに達したときに、プール内に使用可能なアイドル・コンテキスト・インスタンスがあるかどうかコンテキスト・プールが再度チェックするまで、要求が待機する時間間隔。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
preferredSizeint3コンテキスト・プールの優先サイズ。 リポジトリーの負荷に基づいて設定してください。

ldapCache

キャッシュの属性を構成します。

ldapCache > attributesCache

属性キャッシュ・プロパティー構成。

NameTypeDefaultDescription
enabledbooleantrueプロパティーが使用可能であることを示すブール値。
sizeint2000キャッシュに格納することができるエンティティーの数を定義します。 キャッシュへの格納が必要なエンティティーの数に基づいて、キャッシュのサイズを増やすことができます。
timeout期間 (精度: ミリ秒)1200sLDAP 属性のキャッシュの内容が使用可能である最大の時間を定義します。 指定した時間が経過した場合、LDAP 属性のキャッシュはクリアされます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
sizeLimitint2000キャッシュされる LDAP エンティティー当たりの属性最大数。
serverTTLAttributestringキャッシュ・エントリーの有効期限が切れるまでの時間。 そのエントリーに対する以降の呼び出しは、サーバーから直接フェッチされ、その後、再度キャッシュに入れられます。

ldapCache > searchResultsCache

検索結果キャッシュの構成。

NameTypeDefaultDescription
enabledbooleantrueプロパティーが使用可能であることを示すブール値。
sizeint2000キャッシュのサイズ。 キャッシュに保管される検索結果の数。 システムで実行される検索照会の数および使用可能なハードウェア・システム・リソースに基づいて構成する必要があります。
timeout期間 (精度: ミリ秒)1200s検索結果のキャッシュの内容が使用可能である最大の時間を定義します。 指定した時間が経過した場合、検索結果のキャッシュはクリアされます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
resultsSizeLimitint20001 つの LDAP 検索に対してキャッシュできる結果の最大数。