LDAP に関するその他のトピック
安全なアウトバウンド LDAP 接続の作成
このドキュメントでは主に、InterSystems IRIS に接続する際の認証と承認での LDAP の使用について説明していますが、InterSystems IRIS から LDAP サーバに接続することもできます。LDAP サーバへの安全なアウトバウンド接続を確立するために、InterSystems IRIS は TLS をサポートしています。このトピックの詳細は、InitOpens in a new tab メソッドのコンテンツにある %SYS.LDAPOpens in a new tab のクラス・ドキュメントを参照してください。
LDAP API の使用法
%SYS.LDAP クラスでは、プログラムによって LDAP がサポートされます。
UNIX® の認証で InterSystems IRIS LDAP API を使用していて、詳細なデバッグ情報が必要な場合、OpenLDAPOpens in a new tab パッケージの一部である ldapsearch プログラムを使用できます。認証に関する問題を修正したら、構成のテスト・ツールを使用して、接続が機能していることを確認できます。ldapsearch プログラムは、LDAP 接続の他の問題のデバッグにも役に立つ場合があります。
さまざまな LDAP アクションの動作
このセクションでは、LDAP 認証および承認に関連する特定のプロセス中に行われる処理について説明します。
LDAP で認証および承認が実行される仕組み
LDAP 認証を使用する InterSystems IRIS のインスタンスに対して認証を試行するプロセスは以下のようになります。
-
ユーザは、ユーザ名とパスワードの入力を要求されます。認証を試行するこのユーザはターゲット・ユーザと呼ばれます。
-
InterSystems IRIS は、[検索に使用するLDAPユーザ名] と [LDAPユーザ名パスワード] に指定された値を使用して、LDAP サーバへの接続を確立します。InterSystems IRIS が情報を取得できるように LDAP データベースを検索する特権を持つこのユーザは検索ユーザと呼ばれます。
-
接続が確立されると、次に、[LDAPユニーク検索属性] を使用して LDAP データベース内でターゲット・ユーザが検索されます。
-
LDAP データベース内でターゲット・ユーザが見つかると、そのユーザに関連付けられた属性 (ユーザのロール、ネームスペース、ルーチンなど) が取得されます。
-
その後で、InterSystems IRIS は LDAP データベースに対してユーザの認証を試行します。このとき、手順 1 で入力したユーザ名とパスワードが使用されます。
-
認証が成功すると、LDAP サーバで (グループ割り当てまたは属性を使用して) 承認が行われます。ユーザはその後、ロールおよび公開されている利用可能なリソースに関連付けられた特権に基づいて InterSystems IRIS と対話できます。管理ポータルに表示されるユーザのプロパティは読み取り専用で、InterSystems IRIS 内で編集することはできません。
LDAP データベース内でターゲット・ユーザが検索される仕組み
InterSystems IRIS が検索ユーザとして LDAP サーバへの接続を確立したら、次にターゲット・ユーザに関する情報を取得します。そのために、InterSystems IRIS は、ログイン時に入力されたユーザ名を LDAP Unique search attribute に対する LDAP データベース内の値と照合して確認します。この属性の名前は多くの場合、Active Directory LDAP サーバでは “sAMAccountName”、OpenLDAP サーバでは “uid” です。
InterSystems IRIS によりユーザが検索されると、属性情報が取得されます。InterSystems IRIS により、InterSystems IRIS LDAP 構成フィールド ("LDAP 構成の作成または変更" で説明しています) で指定された各属性に関する情報が取得され、各属性に関連付けられたすべての値が取得されます。InterSystems IRIS では、InterSystems IRIS LDAP 構成フィールド内でユーザに指定されたすべての属性に関連付けられているすべての値が取得されることに注意してください。サブセットのみを取得するように構成することはできません。
インスタンスで LDAP アカウントの条件に基づいてローカル・アカウントがチェックおよび削除される仕組み
アカウントが以下のいずれかの条件を満たす場合、InterSystems IRIS ではローカル・インスタンスのユーザ・アカウントが削除されます。
InterSystems IRIS は、以下の状況でこれらの条件をチェックし、アカウントを削除します。
-
ユーザが InterSystems IRIS インスタンスにログインしようとすると、インスタンスによってユーザの LDAP アカウントがチェックされます。LDAP アカウントについて、記載された条件のいずれかを満たす場合、InterSystems IRIS はローカル・ユーザ・アカウントを削除します。
-
セキュリティ・スキャン・タスクの結果として。InterSystems IRIS にはこのタスクが用意されています。タスクを実行して、ローカル・ユーザ・アカウントに関連付けられた LDAP アカウントについて、これらのいずれかの条件を満たすかどうかを確認します。いずれかの条件を満たす場合、InterSystems IRIS はローカル・ユーザ・アカウントを削除します。