LDAP 統合要件
PKI 証明書、LDAP 準拠のディレクトリサービスサーバーを含む、LDAP 統合の要件を確認します。
LDAP 統合には以下が必要です。
- LDAP v3 準拠のディレクトリサービスサーバー
- ファイアウォール経由の (LDAP サーバーへの) 受信ネットワークアクセスを許可
- (オプション) 匿名ログインを承認
- (オプション) 大規模な LDAP クエリのページングをサポート
- LDAP サーバーの外部 IP アドレスまたは完全修飾ドメイン名。MID サーバーを使用することもできます。
- 選択した読み取り専用の LDAP アカウント
- 複数のドメインの場合、各ドメインコントローラのネットワークアクセス
- LDAPS の場合は PKI 証明書
- LDAP リスナーの場合は、永続クエリ (ADNotify) をサポートする Microsoft Active Directory サーバー
サポート対象 LDAP サーバー
JNDI を使用して LDAP サーバーと連携することで、インスタンスは次のサーバーと正常に統合されています。
- Microsoft Active Directory
- Novell
- Domino (Locus Notes)
- LDAP を開く
LDAP クエリの制限
デフォルトでは、Active Directory 2000/2003 には、過度の負荷とサービス拒否攻撃を防ぐために、1000 オブジェクトの LDAP クエリ制限 (maxPageSize) があります。システムには、この制限に対処する 2 つの方法があります。
- デフォルトの方法では、一度に 1000 未満のオブジェクトを返すようにクエリを分割します。たとえば、「a」で始まるオブジェクトのみをクエリしてから、「b」オブジェクトをクエリします。
- 大規模な環境でより効率的な方法は、すべての Microsoft Active Directory サーバーでデフォルトでサポートされているページングを有効にすることです。ページングでは、結果を自動的に複数の結果セットに分割するため、統合によってクエリを複数の要求に分割する必要はありません。