LDAP設定のプロパティ

LDAP認証の詳細設定プロパティ

ここに記載したプロパティは、LDAP認証を使用している場合にのみ適用されます。LDAP認証のサポートは、kcm-guacamole-auth-ldapパッケージを使用してインストールします。keeper/guacamoleのDockerイメージを使用する場合、LDAP認証のサポートは、環境変数を使用して設定します。

TCP接続情報

LDAPサーバーのTCP接続の詳細と、暗号化使用の要否。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

デフォルト値

説明

ldap-hostname

hostname

localhost

LDAPサーバーのホスト名/アドレス。

ldap-port

port

389、またはLDAPSの場合は636

LDAPサーバーの待ち受けTCPポート。

ldap-encryption-method

encryption-method

none

LDAPサーバーと通信するときに使用する暗号化方式。有効な暗号化方式は以下のとおりです。

  • none(非暗号化LDAP用)

  • ssl(LDAP over SSL/TLS、別名LDAPS用)

  • starttls(STARTTLS用)

LDAPユーザー/ユーザーDNの説明

LDAPディレクトリ内のすべてのGuacamoleユーザーのベースDN、および各ユーザーのユーザー名を含む属性。ユーザー名属性がDNに含まれない場合は、検索DNも設定する必要があります。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

デフォルト値

説明

ldap-user-base-dn

user-base-dn

なし

関連するすべてのLDAPユーザーが含まれる可能性のあるベースDN。検索DNを使用しない場合、このDNは、ユーザー名属性を追加できるすべてのユーザーが共有するDNの共通部分になる必要があります。

ldap-username-attribute

username-attribute

uid

ユーザーのユーザー名を含む属性。OpenLDAPの場合、通常、「uid」のデフォルト値が適正です。Active Directoryの場合、適正値は通常、「sAMAccountName」で、ユーザー名の間接マッピングにより、検索DNが必要になります。

LDAPユーザー検索DN

ログインを試みる各ユーザーのDNを検索する場合と同様の、バインドするユーザーのDNとパスワード。省略した場合、各ユーザーのDNは、ユーザーのベースDNとユーザー名属性を使用して直接取得されます。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

説明

ldap-search-bind-dn

search-bind-dn

認証するユーザーのDNを解決しようとする場合と同様の、Guacamoleがバインドする必要のあるユーザーのDN(間接ユーザー名マッピング)。省略した場合、各ユーザーのDNは、ベースDNとユーザー名属性から直接取得されます。このアカウントに関連付けられた権限は、ユーザーがLDAPディレクトリ内のオブジェクトを表示できるか否かには影響しないことにご注意ください。ユーザー、接続などは、それらのユーザーにLDAP内のオブジェクトを表示する権限が付与されている場合にのみ、LDAPユーザーに表示されます。

ldap-search-bind-password

search-bind-password

認証するユーザーのDNを解決するために、Guacamoleが設定された検索DNとバインドするときに指定する必要のあるパスワード。

LDAPグループ/グループDNの説明

LDAPディレクトリ内のすべてのGuacamoleユーザーグループのベースDN、および各グループ名を含む属性。接続情報をLDAP内に格納する場合、設定されたベースDNには、「seeAlso」属性を使用して、「guacConfigGroup」オブジェクト内で参照できるグループもすべて含まれている必要があります。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

デフォルト値

説明

ldap-group-base-dn

group-base-dn

なし

関連するすべてのLDAPグループが含まれる可能性のあるベースDN。ログイン時にユーザー自身のクレデンシャルを使用して、このツリーを検索して、グループメンバーシップが決定されます。

接続情報をLDAP内に格納する場合、これは「seeAlso」属性を使用して指定された「guacConfigGroup」メンバーシップを求めて検索する必要があるLDAPディレクトリサブツリーのベースDNでもあることが必要です。

ldap-group-name-attribute

group-name-attribute

cn

グループ名を含む属性。Active Directoryを含むほとんどのLDAPサーバーでは、通常、デフォルト値の「cn」が適正です。

Guacamole接続のベースDN(guacConfigGroup)

「guacConfigGroup」オブジェクトを使用して、LDAPディレクトリ内で直接定義されたすべてのGuacamole接続のベースDN。「guacConfigGroup」オブジェクトのLDAPスキーマファイルは、/usr/share/guacamole-auth-ldap/schema内にあり、LDIF形式と.schema形式の両方が用意されています。接続をLDAPディレクトリ内に直接格納するかどうかは随意であることにご注意ください。ディレクトリ内に接続を格納しない場合は、このベースDNを指定しないでください。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

説明

ldap-config-base-dn

config-base-dn

ディレクトリ内に直接格納されている接続を求めて検索する必要のあるLDAPサブツリーのベースDN(「guacConfigGroup」オブジェクト)。接続がLDAPディレクトリ内に保存されていない(スキーマの変更が適用されていない)場合は、このプロパティを指定しないでください。

LDAP検索結果の制限

1回のクエリで返すことができるLDAP検索結果の最大数。LDAP検索結果がこの制限を超えると失敗します。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

デフォルト値

説明

ldap-max-search-results

max-search-results

1000

1回のクエリで取得するLDAP検索結果の最大数。デフォルトでは、LDAP検索結果は最大1000エントリーに制限されています。

LDAPユーザー属性

任意のLDAPユーザー属性を使用して、接続にアクセスするユーザーに応じて、接続の動作を動的に変更することができます。ユーザーがLDAPで認証された後、特定のGuacamole接続にアクセスすると、これらの属性の値がパラメータトークンとして提供され、接続のパラメータに適用されます。属性に現在のユーザーの値が含まれない場合、対応するトークンは適用されません。属性に複数の値が含まれる場合は、属性の最初の値が使用されます。

これらの属性は、/etc/guacamole/guacamole.properties内に明示的に記載して、事前にパラメータトークンとして使用するように設定する必要があります。デフォルトでは、パラメータトークンとして提供されるLDAPユーザー属性はありません。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

説明

ldap-user-attributes

user-attributes

LDAPを使用して認証するユーザーのために、LDAPディレクトリから取得する1つまたは複数の属性(コンマ区切り)。指定した場合、ここに記載した属性は認証された各ユーザーから取得され、先頭に「LDAP_」の付いたパラメータトークンとして、そのユーザーの接続パラメータに動的に適用されます。

LDAP属性名をパラメータトークン名に変換する場合、属性名は各単語を下線で区切った大文字に変換されます。この命名規則は、「アンダースコア付き大文字」または「大文字スネークケース」と呼ばれます。以下に例を示します。

LDAP属性
パラメータトークン

lowercase-with-dashes

${LDAP_LOWERCASE_WITH_DASHES}

CamelCase

${LDAP_CAMEL_CASE}

headlessCamelCase

${LDAP_HEADLESS_CAMEL_CASE}

lettersAndNumbers1234

${LDAP_LETTERS_AND_NUMBERS_1234}

aRANDOM_mixOf-3NAMINGConventions

${LDAP_A_RANDOM_MIX_OF_3_NAMING_CONVENTIONS}

カスタムLDAP検索フィルタ

LDAPディレクトリからユーザーまたはグループのリストを取得するために使用する検索フィルタ。デフォルトでは、すべてのオブジェクトに一致するフィルタが使用されます。制限が加えられるのは、関連するベースDNを使用した場合のみです。ユーザーまたはグループのリストをさらに絞り込む必要がある場合は、デフォルトのフィルタをオーバーライドできます。

検索フィルタをオーバーライドする場合は、フィルタが有効なLDAPフィルタであることをご確認ください。特に、LDAPフィルタは対応する括弧のペアで囲む必要があります。フィルタが有効かどうか不明な場合、または予期しない結果が表示された場合は、「ldapsearch」などのコマンドラインユーティリティを使用して、フィルタをLDAPサーバーで検証するとうまくいく場合があります。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

デフォルト値

説明

ldap-user-search-filter

user-search-filter

(objectClass=*)

LDAPディレクトリからユーザーのリストを取得するために使用する検索フィルタ。検索DNを使用する場合(間接ユーザーマッピング)、このフィルタでGuacamoleにログインできるユーザーも制限されます。

ldap-group-search-filter

group-search-filter

(objectClass=*)

グループのリストを取得するために使用する検索フィルタで、権限を定義するために他の拡張機能が使用する場合もあります。

LDAPエイリアスとリファラル(紹介)

GuacamoleがLDAPクエリ中に提示されたLDAPエイリアスまたはリファラルに従うか否か(およびその方法)。デフォルトでは、Guacamoleはエイリアスの参照は外さず、リファラルに従いません。

プロパティ名(guacamole.properties

プロパティ名(ldap-servers.yml

デフォルト値

説明

ldap-dereference-aliases

dereference-aliases

never

LDAPエイリアスがあっても、参照を外すためにGuacamoleが使用するメソッド。正規のエイリアスの参照外しモードは以下のとおりです。

  • never(エイリアスの参照を外しません)

  • searching(検索ベースが見つかった場合のみエイリアスの参照を外します)

  • finding(検索ベースを探す場合のみエイリアスの参照を外します)

  • always(常にエイリアスの参照を外します)

ldap-follow-referrals

follow-referrals

false

「true」に設定すると、LDAPディレクトリから受信したリファラルに自動的に従います。デフォルトでは、リファラルには従いません。

ldap-max-referral-hops

max-referral-hops

5

LDAPクエリを中止するまでに従うリファラルの最大数。このプロパティは、LDAPリファラル追跡が有効な場合にのみ効果があります。リファラル追跡が有効になっている場合、追跡の実行はデフォルトで5ホップに制限されます。

Previous暗号化されたJSONの設定プロパティNextMySQL/MariaDBの設定プロパティ

Last updated