melpod 1.2.x LDAP設定ガイド

melpod 1.2.x より 標準機能となったLDAP 機能の設定についてご説明いたします。
特に明記してない説明については、ActiveDirectryについても同様にご設定ください。

このLDAP 連動機能は、残念ながら通常の認証との相互切り替えを前提に設計されておりません。 そのため、既に運用中のmelpod に設定変更を行い、LDAP 連動機能を後から追加する場合には重要な制限事項がございます。 あらかじめご確認ください。
なお、LDAP連動を取りやめ、通常の認証に戻すことに大きな問題はありません。

• 登録されていたユーザは全てローカルユーザとなり、LDAP上のユーザと区別されます。LDAP上のユーザとは紐付けられません。
• ローカルユーザとLDAPユーザのemail やログインで使用するユーザIDが重複している場合、 LDAPユーザが優先されローカルのユーザは、ユーザの整合性チェックのタイミングで退会処理されます。
• 上記のローカルユーザの退会処理が起こった際には登録されていたMLからも退会されます。

できれば運用に入る前の段階で LDAP 連動機能を導入していただきますようお願い申し上げます。 運用中の切り替えのための機能については現在、検討を行っております。

melpod は、LDAP サーバのデータを参照し、melpod 内部のアカウントやメールアドレスを連動させます。

アカウント連動の例

LDAPにアカウントを追加した

melpod のアカウントも追加されます。

LDAPでアカウントを削除した

melpod のアカウントも退会されます。MLからも退会します。

LDAPでメールアドレスや名前を変更した

melpod のメールアドレスや名前も変更されます。

LDAPでアカウントを変更した

melpod では変更を検知できませんので、変更前のアカウントが退会され新規ユーザが追加されます。

この連動機能のため、システム管理者の皆様は melpod 上のアカウント管理を行う必要がなくなります。

また、ご利用可能な LDAP やActiveDirectory の設定には条件があります。下記条件をご確認ください。

LDAP

• ユーザー情報が登録されているエントリの objectClass は inetOrgPerson またはそれに順ずる設計である事
• ユーザー管理に使用するベースDN 以下のツリーで uid がユニークである事
• ユーザー管理に使用するベースDN 以下のツリーが melpod と同期されても問題ないアカウント郡になっている事
• melpod をインストールするサーバから、認証なしでユーザーの uid, mail, cn 属性が検索できる事

ActiveDirectory

• ユーザー管理に使用するベースDN 以下のツリーで uid がユニークである事
• ユーザー管理に使用するベースDN 以下のツリーが melpod と同期されても問題ないアカウント郡になっている事
• melpod をインストールするサーバから、認証なしでユーザーの sAMAccountName, mail, cn 属性が検索できる事

以下の情報を参照してmelpod のLDAP 連動機能は動作します。

LDAP

uid

ログイン時のユーザーIDとして使用

mail

配送先メールアドレスとして使用

cn

Web インターフェースで表示するユーザー名として使用

ActiveDirectory

sAMAccountName

ログイン時のユーザーIDとして使用

mail

配送先メールアドレスとして使用

cn

Web インターフェースで表示するユーザー名として使用

LDAPサーバーから取得したデータは一定時間キャッシュされます 初期値は1時間となっていますので、変更する場合は、設定ファイル、user-setting.xml で設定が必要になります。 0を設定した場合は、キャッシュを行わず、必要になる都度 LDAPサーバーからデータを取得します。

LDAP と連動しないアカウントを作成することが可能です。 通常は管理コストを削減すべくなるべくLDAP 側にアカウントを持つことを推奨しますが、携帯メールアドレスや他社の方など、 AD にアカウント作成することが難しい場合にローカルにアカウントを作成します。 このアカウントではmelpod にはログインを許可できない場合、アカウント作成時に「ログイン制御：禁止」として作成することで ログインを制限することが可能です。

設定サンプルをダウンロードし、以下の場所に設定ファイルを作成してください。

* いずれも標準インストール状態の場合のパスになります。

linux

/usr/local/melpod/etc/user-setting.xml

Windows

C:\Program Files\melpod\etc\user-setting.xml

設定サンプルのダウンロードは以下から行ってください。

LDAP サンプルダウンロード
ActiveDirectory サンプルのダウンロード
LDAP とADでは設定項目は同じでも設定内容が異なりますのでご注意ください。

ファイルはXML形式で、設定項目は以下になります。

user-module

変更しないでください。

ldap-host

LDAPサーバーのホスト名またはIPアドレス。環境にあわせて変更してください。

ldap-search-base

ユーザー管理に使用するベースDN。環境に合わせて変更してください

ldap-cache-expire

キャッシュの有効期間（秒）。通常変更は不要です。

ldap-object-class

使用するオブジェクトクラス名を設定します。LDAPとADで異なり、通常変更不要です。

ldap-query-name

問い合わせで使う値の名前を設定します。LDAPとADで異なり、通常変更不要です。

設定完了後、melpod のプロセスを再起動します。

Linux

# /etc/init.d/melpod restart

Windows

"スタート"->"コントロールパネル"->"管理ツール"->"サービス"
サービス一覧の中から以下の２つを開始します。

• JBoss Application Server
• James Mail Server

再起動後、インストールしたmelpod のURLを参照してください。
まだライセンスを未登録の状態であれば、ライセンス登録後に管理権限を持つ「特権ユーザ登録」を行います。 ここでLDAP上にあるアカウントを入力してください。

登録後の場合には、Webサーバー起動後にLDAP のアカウントでログイン可能かテストしてください。
* Webサーバー起動まで数分かかります。