LDAP 組織単位の定義

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • 組織単位 (OU) の定義は、統合に利用可能な LDAP ソースディレクトリを指定します。

    始める前に

    必要なロール:admin。

    このタスクについて

    OU 定義には、場所、ユーザー、またはユーザーグループを含めることができます。すべての LDAP サーバー定義には、システムへのグループのインポート用とユーザー用の 2 つのサンプル OU 定義が含まれています。

    手順

    1. 移動先 すべて > システム LDAP > LDAP サーバー.
    2. 設定する LDAP サーバーを選択します。
    3. [LDAP OU 定義] 関連リストで、[グループ] または [ユーザー] のいずれかのサンプル OU 定義を選択します。
    4. [LDAP OU 定義] フォームに入力します (表を参照)。
    5. [更新] をクリックします。
      LDAP サーバーへの接続が自動的にテストされます。
    6. [関連リンク] で、[参照] をクリックして、OU 定義が返す LDAP ディレクトリレコードを表示します。
      [LDAP OU 定義] フォーム
      表 : 1. OU 定義フォーム
      フィールド 説明
      名前 この OU を参照するときに統合で使用する名前を指定します。ここに入力した名前は、データソースレコードの LDAP ターゲットになります。
      RDN 検索するサブディレクトリーの相対識別名を指定します。この RDN は、LDAP サーバー定義の検索開始ディレクトリーと組み合わされて、この組織単位の情報を含むサブディレクトリーを識別します。たとえば、サンプル OU 定義では、RDN 値 CN = Users を使用して、LDAP ディレクトリー CN=Users,DC=service-now,DC=com およびこのポイントより下の任意のディレクトリーを検索します。このフィールドは、LDAP システムのサブディレクトリーと一致する必要があります。
      クエリフィールド レコードを照会する LDAP サーバー内の属性の名前を指定します。クエリフィールドは、単一のドメインインスタンスと複数のドメインインスタンスの両方で一意である必要があります。最良の結果を得るには、複数のドメインインスタンスでユーザーを一意に識別するメールアドレスまたはその他の認証情報を使用します。Active Directory は sAMAccountName 属性を使用します。他の LDAP サーバーは、cn 属性を使用する傾向があります。
      注:
      [クエリ] フィールドは、ユーザー [sys_user] テーブルの [ユーザー ID] フィールドにマップする必要があります。たとえば、Active Directory ユーザーが joe.example としてログインする場合、[ユーザーID] の値 joe.example を持つユーザーレコードと、sAMAccountName の値 joe.example を持つ LDAP レコードが必要です。
      有効 OU 定義を有効にし、アドミニストレーターがデータのインポートをテストできるようにするには、このチェックボックスをオンにします。ただし、統合では、有効な OU 定義からのみシステムにデータを取り込むことができます。
      テーブル LDAP サーバーからマップされたデータを受け取るテーブルを指定します。ユーザーの場合は [ユーザー (sys_user)] を選択し、グループの場合は [グループ (sys_group)] を選択します。
      フィルター LDAP フィルター文字列を入力して、OU からインポートする特定のレコードを選択します。LDAP フィルタークエリが具体的であればあるほど、クエリの効率は高くなります。

      たとえば、ユーザー LDAP OU 定義では、次のフィルターを使用して、個人として分類され、sn 属性値を持ち、コンピューターではなく、無効としてフラグ付けされていないレコードを選択します。

      (&(objectClass=person)(sn=*)(!(objectClass=computer)) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      LDAP フィルター構文の説明については、インターネットで LDAP フィルター RFC を検索してください。

    組織単位の定義の例

    次のディレクトリ構造の LDAP サーバーがあるとします。

    dc=my-domain,dc=com

    • ou=Groups
      • cn=Development
      • cn=HR
      • cn=Sales
    • ou=Users
      • ou=Development
      • ou=HR
      • ou=Sales

    さらに、アプリケーションから人事グループと人事ユーザーを除外するとします。次の操作を実行します。

    1. 検索開始ディレクトリが dc=my-domain,dc=com の LDAP サーバーレコードを作成します。
    2. cn=HR を除外するフィルターで ou=Groups の OU 定義レコードを作成します。
    3. ou=HR を除外するフィルターで ou=Users の OU 定義レコードを作成します。

    OU 定義で追加の属性またはフィルターを指定しない場合、LDAP クエリは開始ディレクトリと RDN からサブツリー全体を返します。

    これらの例では、RDN 値が ou=Groups で、フィルターがない OU 定義はすべてのグループを返します。同様に、RDN 値が ou=Users でフィルターがない OU 定義では、すべてのユーザーと子組織単位が返されます。