2.4.2. LDAP サーバーでロールマッピングを設定
AdvancedLdapLoginModule では、SPNEGOLoginModule で KDC との認証を以前に済ませているユーザーのロールを取得できるようになります。AdvancedLdapLoginModule は、LdapExtLoginModule に基づき、GSSAPI に従います。
注記
本項では、SPNEGOLoginModule を使ったチェーン設定にあるモジュールについて説明していますが、LDAP サーバーからの認証とロール検索にこのモジュールを利用できます。このような設定に関する詳細は、付録A 高度な LDAP ログインモジュール:完全 LDAP 認証 を参照してください。
SPNEGOLoginModule を持つチェーン設定で AdvancedLdapLoginModule を使うには、SPNEGO アプリケーションのセキュリティドメインにある、SPNEGOLoginModule とチェーンする必要があります。SPNEGO 認証の2番目のログインモジュールを
org.jboss.security.negotiation.AdvancedLdapLoginModule
に設定します (例2.2「アプリケーションのセキュリティドメイン」 参照)。
LDAP サーバーのロールマッピングを設定するには、以下をする必要があります。
- InitialLdapContext プロパティを定義します。これらのプロパティを使い LDAP との関係を取得します (「初期の LDAP コンテキストを GSSAPI で定義」 を参照。Java API の詳細は、http://download.oracle.com/javase/6/docs/api/javax/naming/ldap/InitialLdapContext.html を参照)。
- 識別名 (DN: Distinguished Name) プロパティを定義します。これらのプロパティを使い、LDAP サーバーで認証済みユーザーを検索します (「DN 検索の定義」 参照)。
- ロールの検索プロパティを定義します。これらのプロパティは、LDAP サーバー上のロール検索を管理しています (「ロール検索の定義」)。
ログインモードで設定しているプロパティは、InitialLdapContext のコンストラクターに渡されます。つまり、LdapCtxFactory に対応しているオプションのいずれかを利用可能になります。
2.4.2.1. 初期の LDAP コンテキストを GSSAPI で定義 リンクのコピーリンクがクリップボードにコピーされました!
リンクのコピーリンクがクリップボードにコピーされました!
初期の LDAP コンテキストを取得するには、アプリケーションセキュリティドメインにあるAdvancedLdapLoginModule に対し、以下のモジュールプロパティを定義します (「アプリケーションのセキュリティドメインの定義」)。
- bindAuthentication
- 認証タイプを定義します (プロパティの値を
GSSAPI
に設定し GSSAPI ベースの認証を利用します)。 - jaasSecurityDomain
- 接続に必要なサブジェクトを取得するのに利用するセキュリティドメインを定義します (必須のjaasSecurityDomainを定義する際の情報に関しては、「サーバーのセキュリティドメインの定義」 を参照)。