ナビ付きでトピックを開く
LDAP 検索条件の定義
| |
Web ポリシー コンテンツに関する記述は、Web Gateway がピア グループに含まれている場合にのみ該当します。
|
このトピックでは、LDAP 同期ユーザー名リストまたは電子メール アドレス リストを定義するときの検索条件の指定方法に関する背景情報について説明します。
同期用のターゲット ディレクトリ名
同期用のターゲット ディレクトリ名は、検索を開始するベース ノードの識別名を示します。
LDAP ディレクトリはツリー構造になっており、通常、ノードは次のようなトップダウンの順序で示されます。
+ root
+ countries
+ organizations
+ organizational units
- individuals
ツリーを表示するときは、各ノードを展開してその下にある追加ノードを表示できます。
次の図は、UK にある "Your Company plc" の Sales 部門における個人ユーザーのツリー構造の例です。各ノードは長方形で表されています。
次の図は、UK にある "Your Company plc" の Sales 部門における個人電子メール ユーザーのツリー構造の例です。各ノードは長方形で表されています。
各ノードは、識別名 (DN) を使用して一意に識別できます。識別名は、識別対象のノードから始めてツリーのトップまでのすべてのノードの名前を順番に列記して表されます。たとえば、Vince または Vince の電子メール アドレスを含むノードの識別名は次のようになります。
cn=Vince, ou=Sales, o=Your Company plc, c=UK
ノードには、属性=値ペアの形式で 1 つ以上のデータが含まれます。たとえば、上の図では、各 cn (共通名) ノードには an 属性が含まれます。通常、すべてのノードには少なくとも 1 つの ObjectClass 属性が含まれます (図には示されていません)。
スコープ
スコープによって、検索に含めるツリーのエリアが決まります。次のいずれかを指定できます。
- ターゲットのみを検索する (指定したベース ノード)。
- ベース ノードで始まるツリーを再帰的に検索する。
- ターゲットの直接の子のみを検索する。
フィルタ
指定するフィルタにより、ノードに含まれる属性に基づいて、検索の対象となるノードが決まります。フィルタでは標準の LDAP フォーマットを使用します。基本的な検索フィルタは次のようになります。
<属性><演算子><値>
各要素の内容は以下のとおりです。
|
<属性>
|
LDAP 属性です。よく使用される属性を次に示します。
- ObjectClass (通常、ノードのタイプ)
- mail (電子メール アドレス)
- sn (姓)
- givenName (名)
- uid (ユーザー ID)
|
|
<演算子>
|
<属性> と <値> の間の関係を定義します。検索フィルタの基本的な演算子は次のとおりです。
|
=
|
属性が値と正確に一致するエントリを返します。
|
|
>=
|
属性が値より大きいか、値と等しいエントリを返します。
|
|
<=
|
属性が値より小さいか、値と等しいエントリを返します。
|
|
>
|
属性が値より大きいエントリを返します。
|
|
<
|
属性が値より小さいエントリを返します。
|
|
~=
|
属性値が指定された値とほぼ一致するエントリを返します。通常、これは似た単語と一致するアルゴリズムです。
|
|
|
<値>
|
LDAP ディレクトリで属性と関連付けられている値です。
アスタリスク (*) ワイルドカード値を使用して、属性に定義されている値を検索できます。
|
例
|
ObjectClass=*
|
LDAP ディレクトリのすべてのノード(通常、ObjectClass 属性はすべてのノードに含まれます)
|
|
mail=*
|
電子メール アドレス エントリを含むすべてのノード。
|
|
sn=johnson
|
姓エントリが "Johnson" であるすべてのノード。
|
|
sn=jo*
|
姓エントリが "jo" の 2 文字で始まるすべてのノード。"Johnson"、"Jones"、"Jordan" など。
|
複合検索式をサポートする LDAP サーバーを使用している場合は、ブール演算子を使用して複雑な検索フィルタを定義できます。
(<ブール演算子>(フィルタ 1)(フィルタ 2)(フィルタ x))
各要素の内容は以下のとおりです。
|
<ブール演算子>
|
フィルタの間の関係を定義します。複雑な検索フィルタのためのブール演算子は次のとおりです。
|
&
|
AND – 指定されたすべてのフィルタと一致するエントリを返します。
|
|
|
|
OR – 指定されたフィルタの 1 つ以上と一致するエントリを返します。
|
|
!
|
NOT – フィルタが真ではないエントリを返します。
このブール演算子は単一のフィルタに対してのみ適用できます。
|
|
|
<フィルタ>
|
<属性><演算子><値> のフォーマットの基本的な検索フィルタです。
|
例
|
(&(mail=Sales@your-companyname-here.com)(sn=Johnson))
|
Sales 電子メール アドレスで姓が "Johnson" であるすべてのノード。
|
|
(|(sn=Jensen)(sn=Johnson))
|
姓が "Jensen" または "Johnson" であるすべてのノード。
|
|
(!(mail=vince@your-companyname-here.com))
|
Vince の電子メール アドレスを含むもの以外のすべてのノード。
|
| |
組織でサポートされている属性および定義されている値の詳細については、LDAP サーバー管理者に問い合わせてください。 |
取得する属性
ターゲット ディレクトリ名、スコープ、フィルタによって示されるノードについて、取得する値の属性を指定する必要があります。指定する属性の値は、ユーザー名または電子メール アドレスでなければなりません。Clearswift Gatewayが受け付けられる値はこれらだけです。複数の属性を指定する場合は、それらをカンマで区切ります。
ページの要求
各 LDAP サーバーには、単一のクエリに含まれるノードの最大数があります。検索内のノード数がこの制限を超えた場合、サーバーは最大数の結果だけを返します。ページ要求を有効にするオプションを使用し、LDAP サーバーがクエリに含めるノードの最大数を超えないページ サイズを指定することによって、この制限を避けることができます。その場合、検索内のノード数がページ サイズを超えると、Clearswift Gateway はそれぞれがページ サイズによって制限された複数のクエリに検索を自動的に分割します。それにより、LDAP サーバーはすべてのクエリ対象ノードを検索します。
グループ拡張
LDAP サーバーがグループ階層の下方への再帰を許可するように設定されている場合、[グループ拡張] オプションを使用できます。[グループ拡張] を選択する場合、以下を選択できます。
- 次の最大レベルまで拡張する: 再帰検索に含めるレベルの数。ターゲット ディレクトリ名を含みます。たとえば、階層がグループ G1 ~ G10 で構成されていて、G2 は G1 の下、G3 は G2 の下、などとなっているものとします。ターゲット ディレクトリ名として G1 を指定し、最大深度を 4 に指定すると、クエリはグループ G1、G2、G3、G4 から属性の値を返します。
- これらの属性を使用して拡張する: 次の再帰検索を開始する位置を指定する値を含む属性のカンマ区切りリスト (例:member,uniquemember)。
