LDAP グループ検索パラメーターの構成

このタスクについて

LDAP ディレクトリー・ツリー内のグループを検索するには、「グループ検索」セクションを使用します。検索は、「グループ・ベース」フィールドで定義されたディレクトリーから開始され、「グループ検索」フィールドで指定された検索照会を使用して行われます。

手順

  1. グループ検索情報を入力します。各フィールドの横の疑問符 (?) をクリックすると、詳細を表示できます。
    Group Base
    グループ検索を開始する LDAP ディレクトリーを指定します。このプロパティーをブランクのままにすると、検索はディレクトリー内の最上位要素 (例えば、OU=location,DC=domain,DC=com) から開始されます。特定の組織単位 (OU) から検索を開始することで、検索を詳細化できます。例えば、Test という名前の OU から検索を開始するには、プロパティーの値を OU=Test,OU=location,DC=domain,DC=com に設定します。検索では、GroupSearch 条件に一致するグループが Test OU 内で検索されます。GroupSubtree が選択されている場合、Test OU に属する OU もすべて検索されます。
    注: フィールドの右にある「参照」アイコンを使用すると、ディレクトリー構造内を移動し、特定の開始位置を選択できます。
    グループ検索
    グループ検索に使用する LDAP フィルター演算式 (例: (objectClass=group)) を指定します。この式では、必要なグループのみが Remote Control データベースにインポートされるように結果をフィルタリングする必要があります。デフォルト値は (objectClass=group) です。これは、指定された GroupBase 内のグループであるすべてのオブジェクト内にあるユーザーを探すことを意味します。この値により、すべての Active Directory グループが Remote Control にインポートされます。
    注: (objectClass=group) を使用する場合、環境によっては何千ものグループが含まれていることがあるため、必要なグループのみをインポートするフィルターを作成することが重要です。より複雑な照会を使用することで、検索をさらに詳細化することができます。例えば、次の値 GroupBase=(OU=location,DC=domain,DC=com) GroupSearch=(&(objectClass=group)(name=Dep*)) は、名前が Dep で始まる場所 OU 内のすべてのグループを返します。例えば、department1deputy のような名前のグループが返されます。
    Group Subtree
    グループの GroupBase 属性に指定された要素のサブツリーを再帰的に検索する場合は、このオプションを選択します。このオプションを選択しない場合、最上位のみが検索されます。デフォルト値は選択されません。
    Group Name
    グループ検索に使用される LDAP 属性名。このプロパティーは、デフォルトで name に設定されます。
    Group Description
    このグループの説明を取得するために使用される LDAP 属性名。この値はデフォルトで description に設定されます。
    Group Membership Attribute
    指定された検索の結果として返されるグループのメンバーを検出するために使用される LDAP 属性名。デフォルト値は member です。
  2. 「グループ検索のテスト」をクリックします。メッセージ・ボックスが表示され、検索の結果として検出されたグループの総数が示されます。「OK」をクリックします。

タスクの結果

結果として取得されたグループが右側のテキスト・ボックスに表示されます。このリストのグループが、LDAP 同期が有効にされたときに LDAP からインポートされます。各グループ名の左側のアイコンをクリックすると、そのグループに定義されている LDAP 属性と値のリストが表示されます。

必要な検索結果が得られたら、ユーティリティーの「ユーザー検索」セクションを使用して、ユーザー検索 LDAP のプロパティー値を構成およびテストします。詳しくは、「LDAP ユーザー検索パラメーターの構成」を参照してください。LDAP 構成の保存のステップに従って現在の構成を保存します。