LDAPグループのロールの追加
ユーザーのLDAPグループ名とDSEロール名を照合することにより、ロールを割り当てます。
LDAPロール管理でLDAP認証を使用する場合、DSEは、ユーザーがメンバーであるLDAPグループに一致するすべてのロールをユーザーに割り当てます。少なくとも1つのDSEロールにログイン特権が必要です。
注意: DSEは、LDAPロール管理でネストされたグループをサポートしません。
認証が正常に完了すると、DSEは、グループのリストについてLDAPに再度クエリーを実行します。DSEは、次のいずれかからリストを取得します。
- ユーザーの属性のメンバー(user_memberof_attribute)。グループDN(group_name_attribute)からすべてのグループ名を返します。
- group_search_filter属性にユーザー名を含むgroup_search_baseのグループを検索し、グループDNのgroup_name_attributeを使用してグループ名のリストを返します。
制約事項: ロール管理モードLDAPが内部認証で有効になっている場合、グループを検索するには、内部ロールがUIDやSamAccountnameなどのLDAPユーザーID属性に対応している必要があります。
手順
-
group_name
に一致するログイン・ロールを作成します。このグループに属するすべてのユーザーがDSEデータベースにログインできます。CREATE ROLE group_name WITH LOGIN = true;
- group_name - 名前は大文字と小文字が区別され、大文字を含む名前は二重引用符で囲みます。たとえば、グループのcnに一致させるには、二重引用符を使用します。
cn=DSE_Login_Users,ou=Groups,dc=example,dc=com
。 - LOGIN - ユーザーが属する少なくとも1つのグループには、ユーザーが要求を実行するためのログイン特権が必要です。
- SUPERUSER - 完全なデータベース・アクセスをアクセス権を付与します。ただし、パーミッションが制限されているオブジェクトを除きます(「データへのアクセスの制限」を参照)。
ヒント: 要求を実行するために必要です。 - group_name - 名前は大文字と小文字が区別され、大文字を含む名前は二重引用符で囲みます。たとえば、グループのcnに一致させるには、二重引用符を使用します。
-
割り当てを認証スキームにバインドします。
GRANT EXECUTE on LDAP SCHEME to
group_name
;