LDAP 構成の例

このセクションでは、さまざまなシナリオで使用できる LDAP プロファイル構成のサンプルをいくつか示します。

LDAP プロファイルを作成する段階的な手順については、「LDAP 設定の構成」を参照してください。

表 1. 例 1
使用事例	バインドオプション	構成の詳細
Active Directory の一般的な設定	管理者バインド	管理者バインドの構成では、グループメンバーシップに完全 DN が含まれます。

管理者バインドおよびユーザー検索構成で構成された LDAP プロファイルは、次のとおりです。

LDAP プロファイルのグループ検索構成は次のとおりです。

表 2. 例 2
使用事例	バインドオプション	構成の詳細
Active Directory の一般的な設定	匿名バインド	LDAP/AD ユーザーが DN [email protected] とパスワードを使用してバインドできる場合、ユーザーログインを検証します。

匿名バインドで構成された LDAP プロファイルは、次のとおりです。

表 3. Example 3
使用事例	バインドオプション	構成の詳細
Open LDAP	管理者バインド

管理者バインドとユーザー検索が構成された Open LDAP プロファイルは次のとおりです。

グループ検索が構成された Open LDAP プロファイルは次のとおりです。

表 4. 例 4
使用事例	バインドオプション	構成の詳細
Open LDAP	匿名バインド	LDAP ユーザーが DN「cn=jdoe, ou=People, dc=example, dc=com」とパスワードを使用してバインドできる場合、ユーザーログインを検証します。

匿名バインドが構成された Open LDAP プロファイルは、次のとおりです。

表 5. 例 6
グループフィルタ	説明
(objectClass=*)	最も安全なオプションです。これにより、すべてのオブジェクトが LDAP グループとみなされ、メンバーが検索されます。最も最適でないオプションです
(objectCategory=group)	通常、LDAP のグループオブジェクトのカテゴリ値は「group」に設定されています objectCategory と objectClass のいずれかの使用を選択できる場合は、objectCategory を使用することをお勧めします。これは、objectCategory が単一の値であり、インデックス付きであるからです。objectClass は複数の値であり、インデックス付きではありません（Windows Server 2008 以降を除く）。 objectCategory を含むフィルタを使用したクエリは、objectClass の同様のフィルタよりも効率的です。Windows Server 2008 以降のドメインコントローラには、objectClass 属性にインデックスを付ける特別な動作があります。
(objectClass=posixGroup)	一部の環境では、OpenLDAP グループのタイプが「group」ではなく「posixGroup」になる場合があります。
(&(objectCategory=group)(cn=Avi-*))	関心のあるすべての既知のグループが「Avi-」という名前で始まる場合、検索では、他のグループの取得を回避できます。組織によっては、数千のグループが階層内にあり、既知のシナリオに基づいてフィルタリングすることが望ましい場合があります。
グループメンバーが完全 DN かどうか	認証プロファイルのテストページで、ベース DN レベルから完全 DN ツリーを出力できます。グループエントリの場合、メンバー属性値はメンバーが完全 DN かどうかを示します。