このページでは、Lightweight Directory Access Protocol(LDAP)を使用して認証するように AppDynamics コントローラを構成するための情報と手順について説明します。 

はじめる前に

LDAP構成を実行するには、以下が必要です。

  • LDAPサーバー。AppDynamicsアカウントとLDAPサーバーが1対1で対応します。
  • AppDynamics オンプレミスコントローラのアカウント
  • AppDynamics コントローラのアカウント管理者権限「ルートユーザと Glassfish 管理者のパスワードの更新」を参照してください。
  • LDAPサーバーとコントローラ間のネットワーク接続。

LDAP 認証の設定

LDAP 認証を設定する手順の概要は次のとおりです。

  • LDAPサーバーへの接続を構成します。
  • AppDynamicsコントローラにプロビジョニングするユーザーを返すLDAPクエリを構成してテストします。
  • AppDynamicsロールにマッピングするLDAPグループを返すLDAPクエリを構成します。
  • ユーザーまたはグループをAppDynamicsのロールにマッピングします。

LDAPサーバーへの接続の構成

これらのアクションを実行するには、会社の管理者またはアカウント所有者である必要があります。

LDAP 認証を設定するには、[ Settings> Administration >] > [Authentication Provider > LDAP] に移動します。 

使用する必要があるユーザーまたはグループのクエリが LDAP サーバーで許可されているよりも多くのエントリを返す場合は、次のページングされた結果の設定を使用します。

  • Enable Paging:このオプションを有効にすると、ユーザーまたはグループのクエリの送信時にサーバーからのページングされた結果がコントローラによりリクエストされるようになります。
  • Page Size:AppDynamics コントローラから LDAP サーバーへの往復あたりのエントリ数を入力します。デフォルトは 500 です。 

ページサイズは、返されるエントリの合計数を LDAP サーバーとコントローラ間の許容可能な往復数で割った数になります。たとえば、クエリで 1200 の結果を受け取ることが予想され、最大 2 往復まで許容可能な場合は、ページサイズを 600(1200/2)に設定します。「大規模な結果セットに対するページングされた結果の使用」を参照してください。

LDAP接続設定の構成:

  • Host: LDAP サーバーの IP アドレス。必須。
  • Port: LDAP サーバーがリッスンするポート。SSL 接続のデフォルトは 636、SSL を使用しない場合は 389 です。必須。
  • Use SSL: デフォルトでは、LDAP サーバーへのセキュアな接続の使用が有効になっています。SSLを使用しない場合はチェックを外します。
  • Enable Referrals: デフォルトでは、LDAP 紹介のサポートが有効になっています。紹介とは、LDAPサーバーがLDAPクライアントリクエストを別のLDAPサーバーに転送することです。各紹介イベントはホップと呼ばれます。
  • Maximum Referral Hops: AppDynamics が連続して従う紹介の最大数。デフォルトは5です。
  • Bind DN: LDAP サーバー上で識別されるユーザー名であり、AppDynamics アプリケーションでの検索に使用される名前です。必須。
  • Password: LDAP サーバー上のユーザーパスワード。必須。   

ユーザーの構成

[LDAP Configuration] ページで、LDAP ユーザー検索のための情報を構成します。

  • Base DN: ユーザーの再帰的な検索を開始する LDAP ツリーの場所。必須。
  • Filter: ベース DN からマッチする項目をフィルタリングする任意の LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
  • Login Attribute: ユーザーが AppDynamics コントローラへのログイン時に入力するユーザー名に対応する LDAP フィールド。デフォルトは uid です。Active Directory の場合は、通常 sAMAccountName です。
  • Display Name Attribute: ユーザーの表示名として使用する LDAP フィールド。
  • Group Membership Attribute: ユーザー グループ メンバーシップ フィールド(任意)。検索を高速化します。
  • Email Attribute: ユーザーの電子メールアドレス(任意)。 

接続を確認するには、[Test Query] を選択します。成功すると、クエリによって返された最初の数人のユーザーが画面に表示されます結果セットが大きい場合、テストは結果セット全体を返しません。

グループの構成

必要に応じて、LDAPグループをAppDynamicsコントローラのユーザーロールにマップできます。そのためには、マッピングする LDAP グループを返す LDAP クエリを次のように設定する必要があります。

  • Base DN:グループの再帰的な検索を開始する LDAP ツリーの場所。必須。
  • Enable Nested Groups: 深さ 10 までのネストされた LDAP グループを含めるオプション。
  • Filter: ベース DN からマッチする項目をフィルタリングする任意の LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
  • Name Attribute: グループの名前を含む LDAP フィールド。デフォルトは cn です。必須。
  • Description Attribute: グループの説明を含む LDAP フィールド。オプション。
  • User Membership Attribute: グループのメンバーを識別します。オプション。
  • Referenced User Attribute: User Membership Attribute のオプションの子属性。親が空の場合は無効になります。ユーザーメンバーシップ属性に含まれるユーザーのプロパティを指定します。 

接続を確認するには、[Test Query] を選択します。確認が完了すると、クエリによって返された最初の数グループが表示されます。

これで、AppDynamicsコントローラで権限をユーザーまたはグループに割り当てられます。

AppDynamicsの権限のLDAPユーザーへの割り当て

  1. [SettingsSettings > Administration] に移動します。
  2. Users をクリックします。LDAP が有効で正しく構成されている場合、AppDynamics コントローラは LDAP サーバーからユーザー名を取得します。
  3. 権限を割り当てるユーザーの名前を選択します。
  4. このユーザーに割り当てる [Roles] を追加または削除します。1人のユーザーに複数のロールを割り当てることができます。 
  5. Save をクリックします。

AppDynamicsの権限のLDAPグループへの割り当て

LDAPグループの構成は任意です。

  1. Settings > Administration に移動します。
  2. Groups をクリックします。LDAP が有効で正しく構成されている場合、AppDynamics コントローラは LDAP サーバーからグループ名を取得します。
  3. 権限を割り当てるグループの名前を選択します。
  4. このグループに割り当てる [Roles] を追加または削除します。1つのグループに複数のロールを割り当てることができます。
  5. Save をクリックします。 

LDAP キャッシュ同期頻度の設定

コントローラは、LDAP ユーザーおよびグループに関する情報をローカルキャッシュに保持します。LDAP サーバーに定期的に接続して、キャッシュを LDAP サーバーと同期させます。

コントローラは、ユーザーとグループメンバーシップに関する情報をキャッシュします。ユーザーパスワードはキャッシュされません。コントローラは、すべてのユーザーセッションの開始時に LDAP サーバーに対してユーザーログイン情報を認証します。

LDAP からユーザーアカウントを削除すると、変更はすぐに反映され、ユーザーはコントローラにログインできなくなります。ただし、ユーザーがログアウトするかセッションの期限が切れるまでセッションは継続します。 

グループメンバーシップのアクセスでは、ユーザーがグループから削除されても、アカウントが LDAP サーバーに維持される場合、そのユーザーは次に LDAP サーバーとの同期が行われるまでコントローラにログインできます。同期頻度のデフォルト設定では、コントローラへアクセスできる時間は最大 1 時間になります。 

LDAP同期頻度の構成

1 時間のデフォルトの同期頻度を変更するには、次の手順を実行します。

  1. コントローラのアプリケーションサーバーを停止します。

    • Linux では、次を実行します。

      platform-admin.sh stop-controller-appserver

    • Windows では、管理者特権でのコマンドプロンプトから次のコマンドを実行します(Windows の [ Start] メニューで [Command Prompt] を右クリックし、[Run as administrator] を選択)。

      platform-admin.exe cli stop-controller-appserver
  2. <Controller-Installation-Directory>/appserver/glassfish/domains/domain1/config/domain.xml ファイルを開いて編集します。

  3. <jvm-options> エレメントで、appdynamics.ldap.sync.frequency という名前のシステムプロパティをミリ秒単位の同期頻度で追加します。
    たとえば、15分(900000ミリ秒)毎にコントローラをLDAPサーバーに同期させるには、以下を追加します。

    <jvm-options>-Dappdynamics.ldap.sync.frequency=900000</jvm-options>

    デフォルトは3600000ミリ秒(1時間)です。

  4. ファイルを保存します。
  5. コントローラアプリケーションサーバーを再起動します。

    • Linux では、次を実行します。

      platform-admin.sh start-controller-appserver

    • Windows では、管理者特権でのコマンドプロンプトから次のコマンドを実行します。

      platform-admin.exe cli start-controller-appserver