このセクションでは、さまざまなシナリオで使用できる LDAP プロファイル構成のサンプルをいくつか示します。

LDAP プロファイルを作成する段階的な手順については、「LDAP 設定の構成」を参照してください。

表 1. 例 1

使用事例

バインド オプション

構成の詳細

Active Directory の一般的な設定

管理者バインド

管理者バインドの構成では、グループ メンバーシップに完全 DN が含まれます。

管理者バインドおよびユーザー検索構成で構成された LDAP プロファイルは、次のとおりです。



LDAP プロファイルのグループ検索構成は次のとおりです。



表 2. 例 2

使用事例

バインド オプション

構成の詳細

Active Directory の一般的な設定

匿名バインド

LDAP/AD ユーザーが DN jdoe@example.com とパスワードを使用してバインドできる場合、ユーザー ログインを検証します。

匿名バインドで構成された LDAP プロファイルは、次のとおりです。



表 3. Example 3

使用事例

バインド オプション

構成の詳細

Open LDAP

管理者バインド

管理者バインドとユーザー検索が構成された Open LDAP プロファイルは次のとおりです。



グループ検索が構成された Open LDAP プロファイルは次のとおりです。



表 4. 例 4

使用事例

バインド オプション

構成の詳細

Open LDAP

匿名バインド

LDAP ユーザーが DN「cn=jdoe, ou=People, dc=example, dc=com」とパスワードを使用してバインドできる場合、ユーザー ログインを検証します。

匿名バインドが構成された Open LDAP プロファイルは、次のとおりです。



表 5. 例 6

グループ フィルタ

説明

(objectClass=*)

  • 最も安全なオプションです。これにより、すべてのオブジェクトが LDAP グループとみなされ、メンバーが検索されます。

  • 最も最適でないオプションです

(objectCategory=group)

  • 通常、LDAP のグループ オブジェクトのカテゴリ値は「group」に設定されています

  • objectCategory と objectClass のいずれかの使用を選択できる場合は、objectCategory を使用することをお勧めします。これは、objectCategory が単一の値であり、インデックス付きであるからです。objectClass は複数の値であり、インデックス付きではありません(Windows Server 2008 以降を除く)。

  • objectCategory を含むフィルタを使用したクエリは、objectClass の同様のフィルタよりも効率的です。Windows Server 2008 以降のドメイン コントローラには、objectClass 属性にインデックスを付ける特別な動作があります。

(objectClass=posixGroup)

一部の環境では、OpenLDAP グループのタイプが「group」ではなく「posixGroup」になる場合があります。

(&(objectCategory=group)(cn=Avi-*))

関心のあるすべての既知のグループが「Avi-」という名前で始まる場合、検索では、他のグループの取得を回避できます。組織によっては、数千のグループが階層内にあり、既知のシナリオに基づいてフィルタリングすることが望ましい場合があります。

グループ メンバーが完全 DN かどうか

認証プロファイルのテスト ページで、ベース DN レベルから完全 DN ツリーを出力できます。グループ エントリの場合、メンバー属性値はメンバーが完全 DN かどうかを示します。