LDAP ソース¶
LDAP データソースを使用して、LDAP サーバーを Virtual DataPort に登録できます。以下の 2 つの目的で LDAP データソースを使用できます。
LDAP サーバーに保存されているデータを抽出する。
認証タスクを LDAP サーバーに委任する。
LDAP 認証を使用してデータベースに接続するユーザーを認証します (「 LDAP 認証を使用するデータベースの作成 」を参照)。
LDAP 認証を使用して作成され、通常認証でデータベースに接続するユーザーを認証します (「 ユーザーの作成 」を参照)。
Virtual DataPort サーバーによって公開されている Web サービスのユーザーを認証します (「 Web サービスの公開 」を参照)。
LDAP サーバーからユーザーのロールをインポートします (「 ユーザーの作成 」を参照)。
新しい LDAP データソースを作成するには、[Server Explorer] で右クリックして [New] > [Data source] > [LDAP] の順にクリックします。
新しい LDAP データソースを作成するためのダイアログが表示されます。
以下のフィールドに値を入力します。
Name: 新しいデータソースの名前。
Server URI: LDAP サーバーへのパス。
ldap://acme:389
やldap://acme:389/dc=example,dc=com
のように指定します。Login と Password: LDAP サーバーにアクセスするための資格情報。
Use GSSAPI SASL authentication mechanism: 「シンプルバインド」の代わりに、GSSAPI 認証メカニズムを使用した SASL バインドで LDAP サーバーに接続する場合にチェックします。組織がマルチドメイン環境を採用している場合、このチェックボックスをチェックする必要があります。また、LDAP サーバー (通常は Active Directory) の管理者は、ドメイン間の信頼関係を確立して、すべてのドメインからユーザーを認証できるようにする必要があります。
Use Paging: クエリあたりの結果の数が LDAP サーバーによって制限されている場合にチェックします。チェックすると、Virtual DataPort では、クエリのすべての結果を取得するためにページ構成による検索が実行されます。
Enable connection pool: チェックすると、LDAP サーバーへのコネクションのプールがデータソースで保持されるようになります。このプールにあるコネクションは、クエリ実行のたびに再利用されます。
このオプションは有効にすることが推奨されます。このソースにクエリを送信するたびに新しいコネクションを開くのではなく、プールを使用すれば、コネクションがすでに開いているので、クエリの応答が速くなるからです。
プールを有効にすると、以下の処理時間を短縮できます。
ユーザーの認証: Virtual DataPort では、ユーザーの資格情報を確認するために、そのユーザーが指定した資格情報を使用して LDAP サーバーへのコネクションを開きます。データソースのプールが有効で、コネクションが正常に確立されている場合 (資格情報が正しい場合)、そのコネクションはプールに保存されます。これにより、以降の 30 分以内に同じユーザーが Virtual DataPort に再接続する場合は、コネクションを再確立する必要がありません。
このデータソースから作成した基本ビューに対するクエリの実行: クエリのたびに新しいコネクションを開くのではなく、LDAP サーバーへのコネクションが再利用されます。
プールにあるコネクションは、使用されないまま 30 分が経過すると閉じられます。
プールに置くことができるコネクションの最大数は 20 です。
Test Connection: クリックすると、入力した資格情報を使用して、この LDAP サーバーに Virtual DataPort サーバーが接続できるかどうかを確認できます。
注釈
配布されている JRE バージョン (11.0.8) は、LDAP チャネルバインディングをサポートしていません。この機能を利用して、SSL/TLS 経由の LDAP コネクションの安全性を強化したい場合、以下の手順に従います。
JRE version 11.0.11 以降を使用します。
VQL Shell で以下のステートメントを実行して、Virtual DataPort サーバーでこの機能を有効にします。
SET 'com.denodo.vdb.misc.datasource.LDAPDataSource.sasl.channelBindingEnabled' = 'true';
[Metadata] タブで、データソースの格納先フォルダと説明を設定します。
データソースを編集する際、 ボタンをクリックすると、その所有者も変更できます。
[Save] をクリックして、データソースを作成します。
新しく作成したデータソースは、Virtual DataPort サーバーのユーザーの認証にも使用できます。詳細については、「 Creating Users 」を参照してください。
LDAP 基本ビューを作成するには、データソースを開いて [Create base view] をクリックします。
このダイアログでは、新しい基本ビューに返される必要があるオブジェクトクラスとその属性の 両方 を選択します。複数のオブジェクトクラスを選択した場合、選択した すべて のオブジェクトクラス (いずれかのオブジェクトクラスではありません) から派生した LDAP エントリのデータが基本ビューから返されます。
たとえば、一般的な LDAP v3 ディレクトリの person と inetOrgPerson を選択すると、そのディレクトリにある inetOrgPerson エントリごとにレコードを 1 件ずつ返すビューが基本ビューによって作成されます。生成されたビューのフィールドは、person と inetOrgPerson の各 LDAP オブジェクトクラスが持つ属性のスーパーセットで構成されます。
オブジェクトクラスを検索するには、ダイアログ上部にあるボックスにオブジェクトクラスの名前またはそのいずれかのフィールドの名前を入力します。リストには、ここに入力したテキストを使用した名前のエレメントのみが表示されます。
[Recursive search] をチェックすると、LDAP サーバーからデータを取得するために Virtual DataPort サーバーで実行した LDAP クエリでは、データソースパスで参照されているノードの下位にあるサブツリーのすべてのノードが再帰的に検索対象になります。このオプションをチェックしていない場合、LDAP クエリでは、データソースパスで参照されているノード直下の子ノードのみが検索対象になります。
[Multivalued types] をチェックすると、基本ビューの多値属性は、その各値を 1 つのエレメントとする配列に変換されます。このオプションをチェックしていない場合、すべての値が .
を区切り文字として連結されます。
[Browse] をクリックして、基本ビューの保存先フォルダを選択します。
つづいて [Create selected] をクリックすると、基本ビューに設定されるスキーマが表示されます。このダイアログでは以下の処理が可能です。
基本ビューとそのフィールドの名前を変更する。
基本ビューのフィールドの型を変更する。
ビューのプライマリキーを設定する (「 ビューのプライマリキー 」を参照)。
[Metadata] タブで、基本ビューの保存先フォルダを設定して、説明を指定する。基本ビューを編集する際、 ボタンをクリックして、その所有者を変更することもできます。
式から基本ビューを作成することもできます。この式の解決は LDAP サーバーに委任されます。この作成方法を実行するには [Create from LDAP expr] をクリックして、式を入力するフォームを表示します。この式には、補間変数を使用できます (「 補間変数によるパスなどの値 」を参照)。補間変数を使用した場合は、変数のサンプル値を入力して LDAP サーバーにクエリを実行することが求められます。このクエリによって、この式を使用して到達可能なオブジェクトクラスが取得されます。その中から、基本ビューのスキーマの生成に使用するオブジェクトクラスを選択できます。
必要に応じ、LDAP サーバーに対して実行するクエリを再帰的にする必要があるかどうかを指定できます。このオプションは、式を指定せずに基本ビューを作成する前述の場合と同様に解釈されます。