LogoLogo
Keeperコネクションマネージャー
Keeperコネクションマネージャー
  • 概要
  • セキュリティアーキテクチャ
  • インストール
    • ライセンスキー
    • システム要件
    • インストールの準備
    • Dockerの自動インストール
      • サービス管理
      • アップグレード
      • パッケージの追加
    • Docker Composeインストール
      • keeper/guacamole
      • keeper/guacd
      • データベースイメージ
        • keeper/guacamole-db-mysql
        • keeper/guacamole-db-postgres
      • SSLターミネーション
        • keeper/guacamole-ssl-nginx
        • カスタムSSL証明書の使用
      • アップグレード
    • バックアップと復元
  • 認証オプション
    • SAML SSO認証
      • Microsoft Azure
      • Okta
      • Google Workspace
      • OneLogin
      • Oracle
      • PingIdentity
    • TOTPを使用した2FA
    • Duoを使用した2FA
    • SSL/TLSクライアント認証
    • 複数のホスト名
    • PIV/CAC/スマートカード
    • アカウントの承認/拒否ワークフロー
    • OpenID Connect認証
    • LDAP認証
      • 複数のLDAPサーバーの使用
      • LDAP内の接続データを格納
      • LDAPとデータベースの併用
  • 接続プロトコル
    • RDP
    • SSH
    • VNC
    • Telnet
    • リモートブラウザ分離
    • Kubernetes
    • MySQL
      • インポートとエクスポート
      • キーボードショートカット
    • PostgreSQL
      • インポートとエクスポート
      • キーボードショートカット
    • Microsoft SQL Server
      • インポートとエクスポート
      • キーボードショートカット
    • ホストインスタンスへの接続
    • 永続的リバースSSHトンネル
      • WindowsサービスとしてのAutoSSH
      • Linux - AutoSSH
      • Windows - OpenSSH
  • KCMの使用方法
    • ログイン画面
    • ホーム画面
    • 接続の作成
      • 接続の一括インポート
    • KCMの使用方法
    • ファイル転送設定
    • 接続の共有
    • セッションのレコーディングと再生
    • AWS EC2ディスカバリ
    • クレデンシャルパススルー
    • 動的接続
    • カスタムブランディング
      • ロゴを追加する
  • ボルト連携
    • KCMをボルトに接続
    • 動的トークン
    • 静的トークン
    • 複数ボルトの連携
    • EC2 Cloud Connector
    • 高度な機能
    • KeeperPAM
  • カスタム拡張機能
  • ゲストモード
  • 高可用性
  • 詳細設定
    • guacamole.properties
      • SAML 2.0認証の設定プロパティ
      • Duo二要素認証の設定プロパティ
      • 暗号化されたJSONの設定プロパティ
      • LDAP設定のプロパティ
      • MySQL/MariaDBの設定プロパティ
      • PostgreSQL設定のプロパティ
      • SQL Serverの設定プロパティ
      • ログイン試行のプロパティ
  • トラブルシューティング
  • 接続のインポート
  • 接続のエクスポート
  • リリース前テスト
  • 変更記録
  • ライセンス供与とオープンソース
  • サポート範囲
  • セキュリティアドバイザリ
  • アクセシビリティ適合性
Powered by GitBook
On this page
  • TCP接続情報
  • LDAPユーザー/ユーザーDNの説明
  • LDAPユーザー検索DN
  • LDAPグループ/グループDNの説明
  • Guacamole接続のベースDN(guacConfigGroup)
  • LDAP検索結果の制限
  • LDAPユーザー属性
  • カスタムLDAP検索フィルタ
  • LDAPエイリアスとリファラル(紹介)
  1. 詳細設定
  2. guacamole.properties

LDAP設定のプロパティ

LDAP認証の詳細設定プロパティ

Previous暗号化されたJSONの設定プロパティNextMySQL/MariaDBの設定プロパティ

Last updated 5 months ago

ここに記載したプロパティは、LDAP認証を使用している場合にのみ適用されます。LDAP認証のサポートは、します。を使用する場合、LDAP認証のサポートは、環境変数を使用して設定します。

TCP接続情報

LDAPサーバーのTCP接続の詳細と、暗号化使用の要否。

デフォルト値

説明

ldap-hostname

hostname

localhost

LDAPサーバーのホスト名/アドレス。

ldap-port

port

389、またはLDAPSの場合は636

LDAPサーバーの待ち受けTCPポート。

ldap-encryption-method

encryption-method

none

LDAPサーバーと通信するときに使用する暗号化方式。有効な暗号化方式は以下のとおりです。

  • none(非暗号化LDAP用)

  • ssl(LDAP over SSL/TLS、別名LDAPS用)

  • starttls(STARTTLS用)

LDAPユーザー/ユーザーDNの説明

LDAPディレクトリ内のすべてのGuacamoleユーザーのベースDN、および各ユーザーのユーザー名を含む属性。ユーザー名属性がDNに含まれない場合は、検索DNも設定する必要があります。

デフォルト値

説明

ldap-user-base-dn

user-base-dn

なし

関連するすべてのLDAPユーザーが含まれる可能性のあるベースDN。検索DNを使用しない場合、このDNは、ユーザー名属性を追加できるすべてのユーザーが共有するDNの共通部分になる必要があります。

ldap-username-attribute

username-attribute

uid

LDAPユーザー検索DN

ログインを試みる各ユーザーのDNを検索する場合と同様の、バインドするユーザーのDNとパスワード。省略した場合、各ユーザーのDNは、ユーザーのベースDNとユーザー名属性を使用して直接取得されます。

説明

ldap-search-bind-dn

search-bind-dn

ldap-search-bind-password

search-bind-password

認証するユーザーのDNを解決するために、Guacamoleが設定された検索DNとバインドするときに指定する必要のあるパスワード。

LDAPグループ/グループDNの説明

LDAPディレクトリ内のすべてのGuacamoleユーザーグループのベースDN、および各グループ名を含む属性。接続情報をLDAP内に格納する場合、設定されたベースDNには、「seeAlso」属性を使用して、「guacConfigGroup」オブジェクト内で参照できるグループもすべて含まれている必要があります。

デフォルト値

説明

ldap-group-base-dn

group-base-dn

なし

関連するすべてのLDAPグループが含まれる可能性のあるベースDN。ログイン時にユーザー自身のクレデンシャルを使用して、このツリーを検索して、グループメンバーシップが決定されます。

接続情報をLDAP内に格納する場合、これは「seeAlso」属性を使用して指定された「guacConfigGroup」メンバーシップを求めて検索する必要があるLDAPディレクトリサブツリーのベースDNでもあることが必要です。

ldap-group-name-attribute

group-name-attribute

cn

グループ名を含む属性。Active Directoryを含むほとんどのLDAPサーバーでは、通常、デフォルト値の「cn」が適正です。

Guacamole接続のベースDN(guacConfigGroup)

説明

ldap-config-base-dn

config-base-dn

ディレクトリ内に直接格納されている接続を求めて検索する必要のあるLDAPサブツリーのベースDN(「guacConfigGroup」オブジェクト)。接続がLDAPディレクトリ内に保存されていない(スキーマの変更が適用されていない)場合は、このプロパティを指定しないでください。

LDAP検索結果の制限

1回のクエリで返すことができるLDAP検索結果の最大数。LDAP検索結果がこの制限を超えると失敗します。

デフォルト値

説明

ldap-max-search-results

max-search-results

1000

1回のクエリで取得するLDAP検索結果の最大数。デフォルトでは、LDAP検索結果は最大1000エントリーに制限されています。

LDAPユーザー属性

任意のLDAPユーザー属性を使用して、接続にアクセスするユーザーに応じて、接続の動作を動的に変更することができます。ユーザーがLDAPで認証された後、特定のGuacamole接続にアクセスすると、これらの属性の値がパラメータトークンとして提供され、接続のパラメータに適用されます。属性に現在のユーザーの値が含まれない場合、対応するトークンは適用されません。属性に複数の値が含まれる場合は、属性の最初の値が使用されます。

これらの属性は、/etc/guacamole/guacamole.properties内に明示的に記載して、事前にパラメータトークンとして使用するように設定する必要があります。デフォルトでは、パラメータトークンとして提供されるLDAPユーザー属性はありません。

説明

ldap-user-attributes

user-attributes

LDAPを使用して認証するユーザーのために、LDAPディレクトリから取得する1つまたは複数の属性(コンマ区切り)。指定した場合、ここに記載した属性は認証された各ユーザーから取得され、先頭に「LDAP_」の付いたパラメータトークンとして、そのユーザーの接続パラメータに動的に適用されます。

LDAP属性
パラメータトークン

lowercase-with-dashes

${LDAP_LOWERCASE_WITH_DASHES}

CamelCase

${LDAP_CAMEL_CASE}

headlessCamelCase

${LDAP_HEADLESS_CAMEL_CASE}

lettersAndNumbers1234

${LDAP_LETTERS_AND_NUMBERS_1234}

aRANDOM_mixOf-3NAMINGConventions

${LDAP_A_RANDOM_MIX_OF_3_NAMING_CONVENTIONS}

カスタムLDAP検索フィルタ

LDAPディレクトリからユーザーまたはグループのリストを取得するために使用する検索フィルタ。デフォルトでは、すべてのオブジェクトに一致するフィルタが使用されます。制限が加えられるのは、関連するベースDNを使用した場合のみです。ユーザーまたはグループのリストをさらに絞り込む必要がある場合は、デフォルトのフィルタをオーバーライドできます。

検索フィルタをオーバーライドする場合は、フィルタが有効なLDAPフィルタであることをご確認ください。特に、LDAPフィルタは対応する括弧のペアで囲む必要があります。フィルタが有効かどうか不明な場合、または予期しない結果が表示された場合は、「ldapsearch」などのコマンドラインユーティリティを使用して、フィルタをLDAPサーバーで検証するとうまくいく場合があります。

デフォルト値

説明

ldap-user-search-filter

user-search-filter

(objectClass=*)

ldap-group-search-filter

group-search-filter

(objectClass=*)

グループのリストを取得するために使用する検索フィルタで、権限を定義するために他の拡張機能が使用する場合もあります。

LDAPエイリアスとリファラル(紹介)

GuacamoleがLDAPクエリ中に提示されたLDAPエイリアスまたはリファラルに従うか否か(およびその方法)。デフォルトでは、Guacamoleはエイリアスの参照は外さず、リファラルに従いません。

デフォルト値

説明

ldap-dereference-aliases

dereference-aliases

never

LDAPエイリアスがあっても、参照を外すためにGuacamoleが使用するメソッド。正規のエイリアスの参照外しモードは以下のとおりです。

  • never(エイリアスの参照を外しません)

  • searching(検索ベースが見つかった場合のみエイリアスの参照を外します)

  • finding(検索ベースを探す場合のみエイリアスの参照を外します)

  • always(常にエイリアスの参照を外します)

ldap-follow-referrals

follow-referrals

false

「true」に設定すると、LDAPディレクトリから受信したリファラルに自動的に従います。デフォルトでは、リファラルには従いません。

ldap-max-referral-hops

max-referral-hops

5

LDAPクエリを中止するまでに従うリファラルの最大数。このプロパティは、LDAPリファラル追跡が有効な場合にのみ効果があります。リファラル追跡が有効になっている場合、追跡の実行はデフォルトで5ホップに制限されます。

プロパティ名()

プロパティ名()

プロパティ名()

プロパティ名()

ユーザーのユーザー名を含む属性。OpenLDAPの場合、通常、「uid」のデフォルト値が適正です。Active Directoryの場合、適正値は通常、「sAMAccountName」で、になります。

プロパティ名()

プロパティ名()

認証するユーザーのDNを解決しようとする場合と同様の、Guacamoleがバインドする必要のあるユーザーのDN()。省略した場合、各ユーザーのDNは、されます。このアカウントに関連付けられた権限は、ユーザーがLDAPディレクトリ内のオブジェクトを表示できるか否かには影響しないことにご注意ください。ユーザー、接続などは、それらのユーザーにLDAP内のオブジェクトを表示する権限が付与されている場合にのみ、LDAPユーザーに表示されます。

プロパティ名()

プロパティ名()

すべてのGuacamole接続のベースDN。「guacConfigGroup」オブジェクトのLDAPスキーマファイルは、/usr/share/guacamole-auth-ldap/schema内にあり、LDIF形式と.schema形式の両方が用意されています。ことにご注意ください。ディレクトリ内に接続を格納しない場合は、このベースDNを指定しないでください。

プロパティ名()

プロパティ名()

プロパティ名()

プロパティ名()

プロパティ名()

プロパティ名()

LDAP属性名をパラメータトークン名に変換する場合、属性名は各単語を下線で区切った大文字に変換されます。この命名規則は、「アンダースコア付き大文字」または「」と呼ばれます。以下に例を示します。

プロパティ名()

プロパティ名()

LDAPディレクトリからユーザーのリストを取得するために使用する検索フィルタ。検索DNを使用する場合()、このフィルタでGuacamoleにログインできるユーザーも制限されます。

プロパティ名()

プロパティ名()

「guacConfigGroup」オブジェクトを使用して、LDAPディレクトリ内で直接定義された
接続をLDAPディレクトリ内に直接格納するかどうかは随意である
大文字スネークケース
kcm-guacamole-auth-ldapパッケージを使用してインストール
keeper/guacamoleのDockerイメージ
TCP接続情報
LDAPユーザー/ユーザーDNの説明
LDAP検索用ユーザーDN
LDAPグループ/グループDNの説明
Guacamole接続のベースDN(guacConfigGroup)
LDAP検索結果の制限
LDAPユーザー属性
カスタムLDAP検索フィルタ
LDAPエイリアスとリファラル(紹介)
guacamole.properties
guacamole.properties
ユーザー名の間接マッピングにより、検索DNが必要
guacamole.properties
間接ユーザー名マッピング
ベースDNとユーザー名属性から直接取得
guacamole.properties
guacamole.properties
guacamole.properties
guacamole.properties
guacamole.properties
間接ユーザーマッピング
guacamole.properties
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml
ldap-servers.yml