メンバーおよびメンバーシップ属性の構成

LDAP サーバーでグループ・メンバーシップ関係を検索するように、Virtual member manager で memberAttributes および membershipAttribute を構成できます。

グループとそのメンバー (例: PersonAccount エンティティー) は、主に次の 2 通りの方法で保管できます。

  1. 例えば、PersonAccount エンティティーに memberof という属性があり、この memberof 属性が、このユーザーが属するグループを指しているとします。この例の memberof 属性は、グループ・メンバーシップ属性と呼ばれます。
  2. 例えば、Group エンティティーに、member という属性があり、この member 属性がグループのメンバーを指しているとします。この例の member 属性は、グループ・メンバー属性と呼ばれます。

LDAP サーバーでのグループ・メンバーシップを次の例に示します。

Group
cn=grp1,dc=com with attribute 'member' value: uid=usr1,dc=com
PersonAccount
uid=usr1,dc=com with attribute 'memberof' value: cn=grp1,dc=com

wimconfig.xml で対応するメンバーとメンバーシップの構成は次のようになります。

<config:groupConfiguration>
        <config:memberAttributes name="member" objectClass="group" scope="direct"/>
        <config:membershipAttribute name="memberof" scope="direct"/>
      </config:groupConfiguration>
memberAttributes
memberAttributes 構成を使用して、LDAP に Group エンティティーのメンバーを保管する LDAP 属性を指定します。
membershipAttribute
membershipAttribute 構成を使用して、LDAP に PersonAccount エンティティーのグループを保管する LDAP 属性を指定します。
パフォーマンスに関するヒント: LDAP サーバーに複数のグループがある場合、グループ・メンバーシップ関係の検索時のパフォーマンスを向上させるため、Virtual member manager の membershipAttribute を構成します。memberAttributes と membershipAttribute の両方が同時に構成される場合、ユーザーが属するグループを取得する際には membershipAttribute が優先されます (例えば、グループ・ユーザーの取得時に memberAttribute が優先されるログイン・シナリオなど)。


利用条件 | フィードバック