LDAPスキームの定義
認証やロール管理に使用する外部LDAPサーバーを構成します。
DataStax Enterpriseでは、以下の用途でLDAPを使用できます。
- 認証:DSEは構成済みLDAPに認証情報をパススルーします。
- ロール管理:DSEは認証ユーザーを検索し、LDAPグループのリストを取得してから、LDAPグループ名をDSEロール名と照合します。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/dse.yaml |
tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
始める前に
以下のオプションを指定して、DSE Unified Authentication(DSE統合認証)を有効にする操作を完了します。
- 認証に関して、dse.yamlに
authentication_options.scheme:ldap
またはauthentication_options.other_scheme:ldap
が設定されていることを確認します。authentication_options: ... scheme: ldap
- ロール管理に関して、dse.yamlに
role_management_options.mode: ldap
が設定されていることを確認します。role_management_options: ... mode: ldap
サポートされているLDAP v3サーバーが使用可能であることを確認します。DataStax Enterpriseでは以下をサポートしています。
- Microsoft Active Directory:
- Windows 2008
- Windows 2012
- OpenLDAP 2.4.x
- Oracle Directory Server Enterprise Edition 11.1.1.7.0
手順
-
LDAPスキームを認証またはロール管理に使用する場合は、以下のオプションを構成します。
AD認証の最小設定の例:
ldap_options: server_host: win2012ad_server.mycompany.lan server_port: 389 search_dn: cn=lookup_user,cn=users,dc=win2012domain,dc=mycompany,dc=lan search_password: lookup_user_password use_ssl: false use_tls: false truststore_path: path/to/truststore truststore_password: passwordToTruststore truststore_type: jks user_search_base: cn=users,dc=win2012domain,dc=mycompany,dc=lan user_search_filter: (sAMAccountName={0}) credentials_validity_in_ms: 0 search_validity_in_seconds: 0 connection_pool: max_active: 8 max_idle: 8
-
ロール管理モードldapの場合、以下のいずれかを選択します。
- オプション1。ユーザー・エントリーの属性からグループのリストを取得するようにDSEを構成します。
user_memberof_attribute: memberof group_search_type: memberof_search
注:memberof
は、デフォルトのMicrosoft Active Directory LDAPスキームのグループのリストを含む属性の名前です。OpenLDAPには、デフォルトで属性のメンバーはありません。表 1. ユーザー属性のオプション オプション 設定 説明 user_memberof_attribute memberof グループ名のリストを格納する属性。ロール・マネージャーは、リスト内のいずれかに完全に一致するDSEロールを割り当てます。 注: 一致しないグループは無視されます。group_search_type memberof_search user_search_base
とuser_search_filter
を使用して、ユーザー・エントリーを再帰的に検索します。 - オプション2。 検索ベースからすべてのグループ・オブジェクトを検索し、そのユーザーが含まれているグループのリストを返すようにDSEを構成します。
group_search_type: directory_search group_search_base: DN group_search_filter: (uniquemember={0}) group_name_attribute: CN
注:uniquemember
は、グループ用のデフォルトのMicrosoft Active Directory LDAPスキームのユーザーのリストを含む属性の名前です。表 2. グループ・オブジェクトのオプション オプション 設定 説明 group_search_type directory_search group_search_base
を使用して、グループ・オブジェクトを再帰的に検索します。group_search_base DN ユーザーを含んでいるグループの再帰チェックがロール・マネージャーによって開始される場所を指定します。 たとえば、example.comのすべての内部グループをチェックするには
cn=internal ou=group,dc=example,dc=com
.group_search_filter (uniquemember={0}) ユーザー名に一致する属性。大半のLDAPサービスでは、この属性は uniquemember
です。group_name_attribute cn ロール・マネージャーが構成済みDSEロールとの照合を行うグループ名が含まれている属性。グループ名は、大文字と小文字の区別も含め、DSEロール名と完全に一致する必要があります。 注: 一致しないグループは無視されます。
- オプション1。ユーザー・エントリーの属性からグループのリストを取得するようにDSEを構成します。
-
ローリング再起動を実行して変更を実装します。
ヒント: 認証が有効になっているDSE環境にLDAPを追加する場合は、再起動する前にLDAPユーザーおよびグループのロールを設定しておくことが推奨されます。