LDAP 検索条件の定義

 

Web ポリシー コンテンツに関する記述は、Web Gateway がピア グループに含まれている場合にのみ該当します。

このトピックでは、[LDAP 同期ユーザー名リスト] や [電子メール アドレス リスト] を定義する際の、検索条件の指定方法について説明しています。

同期用のターゲット ディレクトリ名

[同期用のターゲット ディレクトリ名] はベース ノードの識別名を認識し、これに基づいて検索を開始します。

LDAP ディレクトリはツリー構造になっており、通常、ノードは、次のように上位から下位に向かって配置されています。

+ root (ルート)

+ countries (国)

+ organizations (組織、会社)

+ organizational units (部署)

- individuals (個人)

ツリーのノードを展開して、そのノードの下にあるノードを表示します。

次の図では、イギリス (UK) に所在する、社名「Your Company plc」の「Sales」部門に属する個人のユーザーのツリー構造を示しています。四角形のラベルが、各ノードを表しています。

次の図では、イギリス (UK) に所在する、社名「Your Company plc」の「Sales」部門に属する個人の電子メール ユーザーのツリー構造を示しています。四角形のラベルが、各ノードを表しています。

Example LDAP tree structure

それぞれのノードは、識別名 (DN) から認識することができます。識別対象のノードから、ツリーの最上位ノードに向かって、すべてのノードが順番に表示されます。たとえば、この図の個人「Vince」の名前、または、電子メール アドレスが含まれたノードの識別名は、次のようになります。

cn=Vince、ou=Sales、o=Your Company plc、c=UK

ノードには、属性=値 の形式で、1 つ、または、複数のデータが含まれています。たとえば、この図のノード 「cn」 (common name - 共通名) には、1 つの属性が含まれています。通常、1 つのノードには、属性「ObjectClass」が少なくとも 1 つ含まれています (図には表示されていません)。

スコープ

スコープを指定することにより、ツリーのどの部分が検索対象になるのかが決まります。次のいずれかを指定することができます。

フィルター

フィルターを指定することにより、ノードに含まれる属性に基づいて、検索対象になるノードが決まります。フィルターは、標準の LDAP 形式を使用します。基本的な検索フィルターは、次のようになります。

説明:

<属性>

LDAP 属性です。よく使用される属性は、次のとおりです。

  • ObjectClass (通常、ノードのタイプ)
  • mail (電子メール アドレス)
  • sn (姓)
  • givenName (名)
  • uid (ユーザー ID)

<演算子>

<属性><値> との関係性を定義します。検索フィルターでの基本的な演算子は、次のとおりです。

  • = - 属性が値と完全に一致するエントリを返す
  • >= - 属性が値より大きいか、値と等しいエントリを返す
  • <= - 属性が値より小さいか、値と等しいエントリを返す
  • > - 属性が値より大きいエントリを返す
  • < - 属性が値より小さいエントリを返す
  • ~= - 属性値が指定の値とほぼ一致するエントリを返す (類似した単語を検索するアルゴリズム)

<値>

LDAP ディレクトリで、属性と関連付けられている値です。アスタリスク (*) をワイルドカードとして使用して、属性に定義されているすべての値を検索することができます。

閉じた

フィルター 検索の一致の対象

ObjectClass=*

LDAP ディレクトリのすべてのノード (通常、属性「ObjectClass」は、すべてのノードに含まれています)

mail=*

電子メール アドレスのエントリが含まれたすべてのノード

sn=johnson

姓のエントリが「johnson」であるすべてのノード

sn=jo*

姓のエントリが「jo」で始まるすべてのノード (Johnson、Jones、Jordan など)

複合検索式がサポートされている LDAP サーバーでは、ブール演算子を使用して、より詳細な検索フィルターを定義することができます。

説明:

<ブール演算子>

フィルター 間の関係性を定義します。より詳細な検索フィルターのためのブール演算子は、次のとおりです。

  • & または AND - 指定したすべてのフィルターと完全に一致するエントリを返す
  • | または OR - 指定したフィルターの 1 つ、または、複数と一致するエントリを返す
  • ! または NOT - フィルターが真ではないエントリを返す (ブール演算子は、1 つのフィルターのみに適用することができます)

<フィルター>

<属性><演算子><値> 形式の、基本的な検索フィルターです。

閉じた

フィルター 検索の一致の対象

(&(mail=Sales@your-companyname-here.com)(sn=Johnson))

「Sales」部門の電子メール アドレスで、姓「Johnson」であるすべてのノード

(|(sn=Jensen)(sn=Johnson))

姓が「Jensen」、または、「Johnson」であるすべてのノード

(!(mail=vince@your-companyname-here.com))

個人「Vince」の電子メール アドレスが含まれていないすべてのノード
  組織独自の属性や値の詳細については、組織の LDAP サーバー管理者に確認してください。

取得する属性

[ターゲット ディレクトリ名]、[スコープ]、[フィルター] に基づいて認識されたノードに対して、取得する値の属性を指定する必要があります。値の属性は、ユーザー名、または、電子メール アドレスでなければなりません。Clearswift Gateway で、それ以外の値を指定することはできません。複数の属性を指定する場合、それらをカンマで区切ります。

ページの要求

各 LDAP サーバーでの単一のクエリに含めるノードの数には上限があります。検索のノード数がこの最大数を超えた場合、サーバーは最大数を返します。[ページ要求を有効にする] オプションを選択して、さらに、ページ サイズを、LDAP サーバーが単一のクエリに含めるノードの最大数未満の値に指定し、ノード数の制限に対処することができます。検索のノード数がページ サイズの値を超えた場合、Clearswift Gateway は、ページ サイズの値に基づいて、検索を複数のクエリに分割します。その結果、LDAP サーバーで、クエリの対象のすべてのノードを検索することができます。

グループ拡張

LDAP サーバーが、グループの階層の下位に向かって再帰できるように設定されている場合、[グループ拡張] オプションを使用することができます。[グループ拡張] オプションでは、次を選択することができます。