LDAP サーバーとの接続の追加
2023年8月21日
ID 94959
複数の LDAP サーバーへの接続を追加できます。
LDAP サーバーへの接続を追加するには:
- Web インターフェイスのメインウィンドウで管理コンソールツリーを開き、[設定]セクションの[LDAP]サブセクションを選択します。
- 作業領域に[LDAP サーバー接続]の設定の値が[不使用]として表示されている場合は、次の処理を実行します:
- [LDAP サーバー接続]をクリックして、[LDAP サーバー接続]ウィンドウを開きます。
- [LDAP サーバー]リストで、[Active Directory または汎用 LDAP]を選択します。
- サーバーの応答のタイムアウトを制限する場合は、[サーバータイムアウトの時間制限を設定]設定の名前の横にあるチェックボックスをオンにします。
- [サーバータイムアウトの時間制限を設定]設定の名前の横にあるチェックボックスをオンにした場合、[サーバータイムアウト(秒単位)]で、LDAP サーバーからの応答を受信する時間の最大値を秒単位で指定します。
既定値は 20 秒です。
- [適用]をクリックします。
[LDAP サーバー接続]ウィンドウが閉じます。
- 作業領域の[追加]をクリックします。
[LDAP サーバー接続ウィザード]ウィンドウが開きます。
- [LDAP サーバー設定]セクションの[接続設定]タブで、[LDAP サーバー]リストから、次のいずれかの外部ディレクトリサービスを選択します:
- 汎用 LDAP - LDAP 互換ディレクトリサービスのサーバー(Red Hat Directory Server など)への接続を追加する場合。
- Active Directory - Microsoft Active Directory サーバーへの接続を追加する場合。
- [LDAP サーバー設定]セクションの[サーバーアドレス]に、接続する IP アドレスを IPv4 形式で入力するか、LDAP サーバーの FQDN 名を入力します。
- [LDAP サーバー設定]セクションの[接続ポート番号]リストで、LDAP サーバーに接続するポートを指定します。
LDAP サーバーは、通常 TCP または UDP プロトコルによってポート 389 でインバウンド接続を受信します。ポート 636 は通常、SSL プロトコルで LDAP サーバーに接続するために使用されます。
- [LDAP サーバー設定]セクションの[接続種別]リストで、LDAP サーバーに接続する時のデータ暗号化のオプションを 1 つ選択します:
- SSL - SSL を使用する場合。
- TLS - TLS を使用する場合。
- 暗号化なし - LDAP サーバーに接続する時にデータ暗号化技術を使用しない場合。
Microsoft ADV190023 LDAP Channel Binding and LDAP Signingの更新がリリースされた後、暗号化なしオプションは機能しません。LDAP サーバーに接続する時は、SSL または TLS 暗号化を使用する必要があります。
- [認証設定]セクションの[LDAP サーバーのユーザーアカウント名]に、ディレクトリレコード(BindDN)を読み取る権限がある LDAP サーバーのユーザー名を入力します。ユーザー名を次のいずれかの形式で入力します:
- 「
cn=<ユーザー名>, ou=<部門名>
(必要な場合)、dc=<ドメイン名>, dc=<親ドメイン名>
」 - LDAP 互換ディレクトリサービスのサーバー(Red Hat Directory Server など)への接続を追加する場合。たとえば、ユーザー名を次のように入力できます:「
cn=LdapServerUser, dc=example, dc=com
」 - ここでの「LdapServerUser
」は、LDAP サーバーのユーザー名です。「example
」は、ユーザーアカウントが属するディレクトリのドメイン名です。「com
」は、ディレクトリがある親ドメインの名前です。 - 「
cn=<ユーザー名>, ou=<ユニット名>
(必要な場合)、dc=<ドメイン名>, dc=<親ドメイン名>
」、または「<ユーザー名>@<ドメイン名>.<親ドメイン名>
」 - Microsoft Active Directory サーバーへの接続を追加する場合。たとえば、次のユーザー名を入力できます:「
LdapServerUser@example.com
」。ここで、「LdapServerUser
」は LDAP サーバーのユーザー名、「example.com
」はユーザーアカウントが属するディレクトリのドメイン名です。
- 「
- [認証設定]セクションの[LDAP サーバーのユーザーアカウントのパスワード]に、[LDAP サーバーのユーザーアカウント名]で指定されたユーザーが LDAP サーバーにアクセスするためのパスワードを入力します。
- [検索設定]セクションの[検索条件]に、Kaspersky Security 8 for Linux Mail Server がディレクトリレコードの検索を開始するディレクトリオブジェクトの DN(識別名)を入力します。
検索条件を次の形式で入力します:「
ou=<部門名>
」(必要な場合)、「dc=<ドメイン名>
,dc=<親ドメイン名>
」。たとえば、次のサーチベースを入力できます:「
ou=people, dc=example, dc=com
」。ここで、「people
」は Kaspersky Security 8 for Linux Mail Server がレコードの検索を開始するディレクトリレベルです(検索は「people
」レベルおよびそれより下のレベルで実行されます。このレベルより上にあるオブジェクトは、検索範囲から除外されます)。「example
」は、Kaspersky Security 8 for Linux Mail Server がレコードを検索するディレクトリのドメイン名です。「com
」は、ディレクトリがある親ドメインの名前です。 - [チェック]をクリックします。
Kaspersky Security 8 for Linux Mail Server は、指定した接続と認証の設定を使用して、LDAP サーバーへの接続を確認します。
- [次へ]をクリックします。
[フィルター]タブが開きます。
- [LDAP フィルターの設定]設定グループの[ユーザー認証]で、ユーザー認証のフィルターを指定します(たとえば、バックアップにあるユーザーのメッセージにユーザーがアクセスできるようにします)。
- ユーザー認証のフィルターの標準的な値を設定するには、[ユーザー認証]の下の[既定値の設定]をクリックします。
- [LDAP フィルターの設定]設定グループの[ユーザーとグループの検索]で、ユーザーまたはユーザーグループの検索フィルターを指定します。
- ユーザーとグループの検索フィルターの標準的な値を設定するには、[既定値の設定]の下の[ユーザーとグループの検索]をクリックします。
- [LDAP フィルターの設定]設定グループの[メールアドレスを使用したユーザーおよびグループの DN の検索]で、メールアドレスに基づいてユーザーおよびユーザーが属するグループの DN レコードを検索するためのフィルターを指定します。
- メールアドレスに基づいてユーザーとユーザーが属するグループの DN レコードを検索するフィルターの標準的な値を設定するには、[メールアドレスを使用したユーザーおよびグループの DN の検索]の下の[既定値の設定]をクリックします。
- [LDAP フィルターの設定]設定グループの[ユーザーの DN によるグループの検索]で、ユーザーの DN レコードに基づいてユーザーが属するグループを検索するフィルターを設定します。このフィルターは、[メールアドレスを使用したユーザーおよびグループの DN の検索]で指定されたフィルターを使用してユーザーグループが決定できない時に使用します。
- ユーザーの DN レコードに基づいてユーザーが属するグループを検索するフィルターの標準的な値を設定するには、[ユーザーの DN によるグループの検索]の下の[既定値の設定]をクリックします。
- サブグループの LDAP アカウントの検索を有効にするには、[再帰検索を使用]をオンにします。
- [終了]をクリックします。
[LDAP サーバー接続ウィザード]ウィンドウが閉じます。
追加した外部ディレクトリサービスへの接続が、製品インターフェイスのメインウィンドウの[LDAP]セクションの作業領域に表示されます。