現象

LDAP 認証は、Active Directory などの(中央)LDAP ディレクトリに保存されているユーザーを認証するために必要です。Sling 管理コンソールには設定がありません。

原因

LDAP 認証はリポジトリレベルで有効になっており、設定されている必要があるため、CQ5 自体ではなく CRX によって直接処理されます。

解決策

CRX2.1 LDAP 設定を持つ CQ5.3

CQ5.3 用 LDAP 統合設定方法のドキュメントを表示するには、ここに移動

CRX2.2 LDAP 設定を持つ CQ5.4 または CQ5.3

CRX2.2 用 LDAP 統合の設定方法に関するドキュメントはここに移動

CQ5.2.x LDAP 設定

弊社ドキュメントサイト内の対応するセクション [1] を参照してください。

注意:JVM オプションを渡すときは、ldap_login.conf ファイルへの絶対パスを設定します。

java -Djava.security.auth.login.config=/opt/day/cq5/crx-quickstart/server/etc/ldap_login.conf -jar cq-quickstart.jar 

サーバーを起動するために crx-quickstart/server/start を使用している場合は、次の環境変数を設定できます。

CQ_JVM_JAAS=1 CQ_JVM_JAAS_CONFIG=crx-quickstart/server/etc/ldap_login.conf 

サンプル LDAP 設定

Active Directory で使用するための CQ5.2.x 設定

この設定は CQ グループ(グループはアクティブディレクトリから同期されません)を使用します。

com.day.crx {
com.day.crx.security.authentication.CRXLoginModule sufficient;
com.day.crx.security.ldap.LDAPLoginModule required
principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
principal_provider.name="ldap"
host="ldapserverhostname" port="389"
authDn="dc=testldap,dc=com"
authPw="test"
userRoot="ou=CQ,ou=Users,dc=testldap,dc=com
authentication.mode="user"
userIdAttribute="sAMAccountName"
deny_anonymous_access="true"
autocreate="create"
autocreate.syncdelay="1800"
autocreate.lastmodified ="lastmodified"
autocreate.user.mail="rep:e-mail"
autocreate.user.cn="rep:fullname"
autocreate.path="splitdn"
cacheMaxSize="10000"
cache.expiration="600"
cache.maxsize="100";
};

Active Directory で使用する CQ5.3 と CRX 2.1(ホットフィックス 2.1.0.4 インストール済み)

CQ5.3/ホットフィックス 2.1.0.4 インストール済み CRX2.1 で使用される Active Directory セットアップとグループ、ユーザー同期グループ同期を禁止するには、groupRoot プロパティを空の既存 OU に設定します。

com.day.crx {
com.day.crx.security.ldap.LDAPLoginModule required
restore-login-identity="false"
principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
principal_provider.name="ldap"
host="ldapserverhostname" port="389"
authDn="dc=testldap,dc=com"
authPw="test"
userRoot="ou=CQ,ou=Users,dc=testldap,dc=com"
authDn="CN=CQAdmin,OU=Users,dc=testldap,dc=com"
authPw="test"
bindDn="dc=testldap,dc=us"
groupMembershipAttribute="member"
groupRoot="ou=CQ,ou=Groups,dc=testldap,dc=com"
groupFilter="(objectclass=group)"
searchTimeout="100"
userIdAttribute="sAMAccountname"
deny_anonymous_access="true"
autocreate="create"
autocreate.lastmodified="whenChanged"
autocreate.user.mail="email"
autocreate.user.sn="cq:last-name"
autocreate.user.givenName="cq:first-name"
autocreate.user.description="aboutMe"
autocreate.user.cn="rep:fullname"
autocreate.group.cn="rep:fullname"
autocreate.group.givenName="cq:first-name"
autocreate.group.mail="email"
autocreate.group.description = "aboutMe"
autocreate.group.localadmin="admin"
autocreate.path="splitdn"
autocreate.syncdelay="1800"
cache.expiration="600"
cache.maxsize="100";
com.day.crx.core.CRXLoginModule required;
};

アクティブディレクトリで使用するための CQ5.4 と CQ5.5

CQ5.4 と使用する Active Directory セットアップ、グループ、ユーザー同期。グループの同期を無効にするには、空の既存 OU に groupRoot プロパティを設定します。

com.day.crx {
com.day.crx.core.CRXLoginModule sufficient
trust_credentials_attribute="TrustedInfo";
com.day.crx.security.ldap.LDAPLoginModule required
principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
principal_provider.name="ldapDirectory"
trust_credentials_attribute="TrustedInfo"
host="ldap-server-hostname"
port="389"
authDn="CN=Admin,OU=Users,DC=test,DC=com"
authPw="xxxxxxxxx"
userRoot="OU=Users,DC=test,DC=com"
userIdAttribute="sAMAccountName"
groupRoot="OU=Groups,DC=test,DC=com"
groupMembershipAttribute="member"
autocreate="create"
autocreate.path="none"
autocreate.user.cn="rep:fullname"
autocreate.user.mail="profile/email"
autocreate.user.sn="profile/familyName"
autocreate.user.givenName="profile/givenName"
autocreate.group.cn="rep:fullname"
autocreate.group.mail="profile/email"
cache.expiration="7200"
cache.maxsize="1000"
userFilter="(objectClass=person)"
groupFilter="(objectClass=group)";
};

適用対象

CQ5.1、CQ5.2.x
[1] LDAP 設定

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー