LDAPスキームの定義

認証やロール管理に使用する外部LDAPサーバーを構成します。

1. LDAPスキームを認証またはロール管理に使用する場合は、以下のオプションを構成します。
   1. 必須の設定は以下のとおりです。

      オプション	説明
      server_host	LDAPサーバーのホスト名。
      server_port	LDAPサーバーがリッスンするポート。暗号化されていない接続のデフォルト・ポートは389です。 LDAPのデフォルトのSSLポートは636です。
      search_dn	user_search_baseおよびgroup_search_baseに対する読み取りアクセス権を持つアカウントの識別名（DN）。匿名のバインドを使用する場合はコメントアウトします。
      search_password	search_dnユーザーのパスワード。
      user_search_base	認証およびロール管理のmemberof検索でユーザー・エントリーの再帰検索を開始するオブジェクトの識別名（DN）。たとえば、example.comですべてのユーザーを検索対象にするには、「ou=users,dc=example,dc=com」と指定します。 Active Directoryでは、別の検索ベース（通常は、CN=search,CN=Users,DC=ActDir_domname,DC=internal）を使用します。たとえば、CN=search,CN=Users,DC=example,DC=internalのようになります。
      user_search_filter	ユーザーを識別する属性。デフォルトの設定値は(uid={0})です。 Active Directoryを使用する場合は、フィルターを(sAMAccountName={0})に設定します。

   2. 任意指定の設定は以下のとおりです。

      オプション	説明
      use_ssl	LDAPサーバーへのSSL接続を有効にするには、trueに設定します。trueに設定されている場合は、server_portをLDAPサーバーのSSLポートに変更しなければならないことがあります。デフォルト値はfalseです。
      use_tls	LDAPサーバーへのTLS接続を有効にするには、trueに設定します。trueに設定する場合は、server_portをLDAPサーバーのTLSポートに変更します。デフォルト値はfalseです。
      truststore_path	SSL証明書のトラストストアのパス。
      truststore_password	トラストストアにアクセスするためのパスワード。
      truststore_type	トラストストアのタイプ。デフォルト値はjksです。
      credentials_validity_in_ms	認証情報キャッシュの時間（単位はミリ秒）。キャッシュを無効にするには、0に設定します。キャッシュはデフォルトで無効になっています。 キャッシュが有効になっているDataStax Enterpriseでは、指定された期間にユーザー認証情報がローカルに格納されます。リモートLDAPサーバーにバインドするには、時間とリソースが必要となります。そのため、認証情報キャッシュを有効にすると、通常は、初期認証フェーズ後にパフォーマンスが向上します。LDAPサーバーのユーザー認証情報に行った変更は、キャッシュ期間中にDataStax Enterpriseに反映されません。
      search_validity_in_seconds	検索キャッシュの時間（単位はミリ秒）。キャッシュを無効にするには、0に設定します。キャッシュはデフォルトで無効になっています。 検索キャッシュを有効にすると、LDAPサーバーに送信される要求の数が減るため、パフォーマンスが向上します。LDAPサーバーのユーザー・データに行った変更は、キャッシュ期間中に反映されません。
      connection_pool	LDAP要求を行うための接続プールの構成設定。
      max_active	LDAPサーバーへのアクティブな接続の最大数。デフォルト値は8です。
      max_idle	要求待ちプールでのアイドル接続の最大数。デフォルト値は8です。

   ldap_options:
       server_host: localhost
       server_port: 389
       search_dn: cn=Admin
       search_password: secret
       use_ssl: false
       use_tls: false
       truststore_path:
       truststore_password:
       truststore_type: jks
       user_search_base: ou=users,dc=example,dc=com
       user_search_filter: (uid={0})
   
       credentials_validity_in_ms: 0
       connection_pool:
           max_active: 8
           max_idle: 8

2. 以下のオプションは、LDAPをロール管理に使用する場合にのみ構成します。
   • ユーザー・エントリーの属性からグループ・リストを返します。

         user_memberof_attribute: memberof
         group_search_type: memberof_search

     表 1. ユーザー属性のオプション

     オプション	設定	説明
     user_memberof_attribute	memberof	グループ名のリストを格納する属性。ロール・マネージャーは、リスト内のいずれかに完全に一致するDSEロールを割り当てます。 注: 一致しないグループは無視されます。
     group_search_type	memberof_search	user_search_baseとuser_search_filterを使用して、ユーザー・エントリーを再帰的に検索します。

   • ディレクトリー内のグループ・オブジェクトを検索して、ユーザーを含んでいるすべてのグループを返します。

         group_search_type: directory_search
         group_search_base: DN 
         group_search_filter: (uniquemember={0})
         group_name_attribute: CN

     表 2. グループ・オブジェクトのオプション

     オプション	設定	説明
     group_search_type	directory_search	group_search_baseを使用して、グループ・オブジェクトを再帰的に検索します。
     group_search_base	DN	ユーザーを含んでいるグループの再帰チェックがロール・マネージャーによって開始される場所を指定します。 たとえば、example.comのすべての内部グループをチェックするには、「cn=internal ou=group,dc=example,dc=com」と指定します。
     group_search_filter	(uniquemember={0})	ユーザー名に一致する属性。大半のLDAPサービスでは、この属性はuniquememberです。
     group_name_attribute	cn	ロール・マネージャーが構成済みDSEロールとの照合を行うグループ名が含まれている属性。グループ名は、大文字と小文字の区別も含め、DSEロール名と完全に一致する必要があります。 注: 一致しないグループは無視されます。
3. ローリング再起動を実行して変更を実装します。
   ヒント: 認証が有効になっているDSE環境にLDAPを追加する場合は、再起動する前にLDAPユーザーおよびグループのロールを設定しておくことが推奨されます。