オンプレミス LDAP 認証の設定
このページでは、Lightweight Directory Access Protocol(LDAP)を使用して認証するように Splunk AppDynamics コントローラを設定するための情報と手順を示します。
はじめる前に
LDAP構成を実行するには、以下が必要です。
- LDAPサーバー。Splunk AppDynamics アカウントと LDAP サーバーは 1 対 1 で対応します。
- Splunk AppDynamics オンプレミスコントローラのアカウント
- Splunk AppDynamics コントローラのアカウント管理者権限。「ルートユーザーパスワードの更新」を参照してください。
- LDAPサーバーとコントローラ間のネットワーク接続。
LDAP 認証の設定
LDAP 認証を設定する手順の概要は次のとおりです。
- LDAP サーバーへの接続を構成します。
- Splunk AppDynamics コントローラにプロビジョニングするユーザーを返す LDAP クエリを構成してテストします。
- Splunk AppDynamics ロールにマッピングする LDAP グループを返す LDAP クエリを構成します。
- ユーザーまたはグループを Splunk AppDynamics のロールにマッピングします。
LDAP サーバーへの接続の構成
使用する必要があるユーザーまたはグループのクエリが LDAP サーバーで許可されているよりも多くのエントリを返す場合は、次のページングされた結果の設定を使用します。
- Enable Paging:このオプションを有効にすると、ユーザーまたはグループのクエリの送信時にサーバーからのページングされた結果がコントローラによりリクエストされるようになります。
- Page Size:Splunk AppDynamicsコントローラから LDAP サーバーへの往復あたりのエントリ数を入力します。デフォルトは 500 です。
ページサイズは、返されるエントリの合計数を LDAP サーバーとコントローラ間の許容可能な往復数で割った数になります。たとえば、クエリで 1200 の結果を受け取ることが予想され、最大 2 ラウンドトリップまで許容可能な場合は、ページサイズを 600(1200/2)に設定します。「大規模な結果セットに対するページングされた結果の使用」を参照してください。
LDAP 接続設定の構成:
- Host:LDAP サーバーの IP アドレス。必須。
- Port:LDAP サーバーがリッスンするポート。SSL 接続のデフォルトは 636、SSL を使用しない場合は 389 です。必須。
- Use SSL:デフォルトでは、LDAP サーバーへのセキュアな接続の使用が有効になっています。SSLを使用しない場合はチェックを外します。
- Enable Referrals:デフォルトでは、LDAP 紹介のサポートが有効になっています。照会とは、LDAP サーバーが LDAP クライアントリクエストを別の LDAP サーバーに転送することです。各照会イベントはホップと呼ばれます。
- Maximum Referral Hops:Splunk AppDynamics が連続して従う紹介の最大数。デフォルトは5です。
- Bind DN:LDAP サーバー上で識別されるユーザー名であり、Splunk AppDynamics アプリケーションでの検索に使用されます。必須。
- Password:LDAP サーバー上のユーザーパスワード。必須。
ユーザーの構成
[LDAP Configuration] ページで、LDAP ユーザーを検索するための情報を設定します。
- Base DN:ユーザーの再帰的な検索を開始する LDAP ツリーの場所。必須。
- Filter:ベース DN から一致する項目をフィルタ処理するオプションの LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
- Login Attribute:ユーザーが Splunk AppDynamics コントローラへのログイン時に入力するユーザー名に対応する LDAP フィールド。デフォルトは
uidです。Active Directory の場合は、通常sAMAccountNameです。 - Display Name Attribute:ユーザーの表示名として使用する LDAP フィールド。
- Group Membership Attribute:オプションのユーザー グループ メンバーシップ フィールド。検索を高速化します。
- Email Attribute:オプションのユーザーメールアドレス。
[Test Query] を選択して、接続を確認します。成功すると、クエリによって返された最初の数人のユーザーが画面に表示されます結果セットが大きい場合、テストは結果セット全体を返しません。
グループの構成
必要に応じて、LDAP グループを Splunk AppDynamicsController のユーザーロールにマップできます。そのためには、マッピングする LDAP グループを返す LDAP クエリを次のように設定する必要があります。
- Base DN:グループの再帰的な検索を開始する LDAP ツリーの場所。必須。
- Enable Nested Groups:深さ 10 までのネストされた LDAP グループを含めるオプション。
- Filter:ベース DN から一致する項目をフィルタ処理するオプションの LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
- Name Attribute:グループの名前を含む LDAP フィールド。デフォルトは
cnです。必須。 - Description Attribute:グループの説明を含む LDAP フィールド。オプション。
- User Membership Attribute:グループのメンバーを識別します。オプション。
- Referenced User Attribute:ユーザーメンバーシップ属性のオプションの子属性。親が空の場合は無効になります。ユーザーメンバーシップ属性に含まれるユーザーのプロパティを指定します。
[Test Query] を選択して、接続を確認します。接続が成功している場合、クエリによって返された最初の数グループが表示されます。
これで、Splunk AppDynamics コントローラで権限をユーザーやグループに割り当てられます。
Splunk AppDynamics の権限の LDAP ユーザーへの割り当て
- [Settings]
![[設定]](https://cdn.brandfolder.io/50KQXSAT/at/rq2k9srfntqtmg4sw6t4t4v/Settings.png)
> [Administration] 内。 - [Users] をクリックします。LDAP が有効で正しく構成されている場合、Splunk AppDynamics コントローラは LDAP サーバーからユーザー名を取得します。
- 権限を割り当てるユーザーの名前を選択します。
- このユーザーに割り当てる [Roles] を追加または削除します。1人のユーザーに複数のロールを割り当てることができます。
- [Save] をクリックします。
Splunk AppDynamics の権限の LDAP グループへの割り当て
LDAPグループの構成は任意です。
- にアクセスします。
- Groups をクリックします。LDAP が有効で正しく構成されている場合、Splunk AppDynamics は LDAP からグループ名を取得します。
- 権限を割り当てるグループの名前を選択します。
- このグループに割り当てる [Roles] を追加または削除します。1つのグループに複数のロールを割り当てることができます。
- Save をクリックします。
LDAP キャッシュ同期頻度の設定
コントローラは、LDAP ユーザーおよびグループに関する情報をローカルキャッシュに保持します。LDAP サーバーに定期的に接続して、キャッシュを LDAP サーバーと同期させます。
コントローラは、ユーザーとグループメンバーシップに関する情報をキャッシュします。ユーザーパスワードはキャッシュされません。コントローラは、すべてのユーザーセッションの開始時に LDAP サーバーに対してユーザーログイン情報を認証します。
LDAP からユーザーアカウントを削除すると、変更はすぐに反映され、ユーザーはコントローラにログインできなくなります。ただし、ユーザーがログアウトするかセッションの期限が切れるまでセッションは継続します。
グループメンバーシップのアクセスでは、ユーザーがグループから削除されても、アカウントが LDAP サーバーに維持される場合、そのユーザーは次に LDAP サーバーとの同期が行われるまでコントローラにログインできます。同期頻度のデフォルト設定では、コントローラへアクセスできる時間は最大 1 時間になります。
LDAP同期頻度の構成
1 時間のデフォルトの同期頻度を変更するには、次の手順を実行します。