SonicOS 7 アンチスパム

Technical Documentation>  LDAP 構成>  LDAP サーバの追加>  LDAP クエリの設定
Table of Contents

LDAP クエリの設定

LDAP 設定」タブで「構成の保存時に LDAP クエリ フィールドを自動入力する」オプションを選択した場合は、「LDAP クエリ パネル」に既定値が自動的に設定されます。

ユーザがジャンク ボックスに正常にログインできるようにするには、以下の手順に従います

LDAP ツリー全体を調べて LDAP 構造とそのさまざまな属性やオブジェクト クラスを包括的に把握するには、無料のプログラム Softerra LDAP Browser 2.5 (http://www.ldapbrowser.com/download/index.php から入手可能) を実行します。

Windows PC でこのプログラムをダウンロードします。プログラムの実行中は、ご利用のネットワークにとって最適なクエリを決定するために、ネットワーク上のユーザを参照し、その属性を調べます。

  1. LDAP クエリ パネル」タブの「LDAP ユーザのクエリ」セクションに移動します。

  2. オプションの「LDAP グループのクエリ」機能を使用するには、「検索を開始するディレクトリ ノード」フィールド内に、ディレクトリ内のすべてのグループの情報が格納されているノードを示す完全な LDAP ディレクトリ パス (LDAP 内のディレクトリ) を指定します。このパスにより、LDAP グループの検索範囲が適度に絞り込まれます。

    LDAP に含まれている情報は、通常のファイル システムの場合と非常によく似たディレクトリ ツリーの形で整理されます。各ディレクトリは、name=value というペアとして指定されます。ここで、

    • name は通常、次のいずれかです。

      DC (ドメイン コンポーネント)

      OU (組織単位)
      DN (識別名)

      O (組織)
    • は通常、完全に指定されたホスト名の 1 セグメント (例: sales.companyxyz.com 内の単語 companyxyz) です。

    LDAP 内の特定のノードを指定するには、カンマ区切りのリストを使用します。複数のノードを指定して検索するには、完全パスの間にアンパサンド (&) を使用します。

    例えば、companyxyz 内にある特定のマシンのホスト名が computer27.sales.companyxyz.com の場合、LDAP パスは次のようになります。

    DC=computer27,DC=sales,DC=companyxyz,DC=com

    さまざまなディレクトリ種別での例を確認するには、「検索を開始するディレクトリ ノード」フィールドの隣にある疑問符アイコンを選択します。

  3. フィルタ」フィールドには、標準の LDAP フィルタ構文で LDAP フィルタを入力します。

    アンチスパムには、ユーザやメーリング リストの検索および識別方法を指示する必要があります。「フィルタ」フィールドにオブジェクト クラスやメール属性を具体的に記述することで、LDAP クエリの処理時に非プライマリ電子メール アカウント (プリンタ、コンピュータなど) が除外されます。プライマリ ユーザ アカウントのみに注目するとクエリの処理速度が向上します。

    「フィルタ」フィールドには、次のサンプル構文が記されています。

    (&(|(objectClass=group)(objectClass=person)(objectClass=publicFolder))(mail=*))

    すべての LDAP フィルタは括弧内にグループ化されており、フィルタ自体にも文字列全体を囲む括弧のペアがあります。左から 2 番目の文字がアンパサンド (&) になっています。この LDAP フィルタ構文はプレフィックス表記です。これは、このフィルタが、それぞれ括弧でグループ化された 3 つの下位フィルタの論理的 AND のみを返すことを意味します。その他の演算子としては、OR を表すパイプ (|) や NOT を表す感嘆符 (!) があります。

  4. ユーザ ログイン名の属性」フィールドに、ユーザがログイン名に使用するテキスト属性を指定します。このフィールドで一般的に受け入れられる属性は、既定値である sAMAccountName です。この属性は、Microsoft Windows やその他すべての環境で機能するはずです。

    このフィールドは、連動して機能する「フィルタ」フィールドと一致している必要があります。sAMAccountName を変更する場合は、「フィルタ」フィールドと「ユーザ ログイン名の属性」フィールドも一緒に変更する必要があります。

  5. 単一のユーザをそのユーザのジャンク ボックスに関連付けるための電子メール アドレス、従業員 ID、電話番号、またはその他のエイリアス属性を「電子メール エイリアスの属性」フィールドで指定します。

    多くの企業では、1 人のエンド ユーザが複数の電子メール アカウントを持っており、それらはすべて本来の 1 つの電子メール アカウントにマッピングされています。例えば、JohnS@example.comJohn.Smith@example.com はどちらも John Smith の受信ボックスで有効な電子メール アドレスになっていることがあります。アンチスパムでは、こうした状況に対応するために、あるエンド ユーザのさまざまな電子メール アドレスの電子メールすべてをグループ化する 1 つのジャンク電子メール ボックスをそのユーザが持つことができるようにしています。

    このフィールドで一般的に受け入れられる属性は proxyAddresses です。他の属性はすべてカンマで区切る必要があります。例を以下に示します。

    • proxyAddresses,legacyExchangeDN
    • proxyAddresses,EmployeeID,PhoneNumber

    Microsoft Windows 環境では、多くの場合、1 つの属性 proxyAddresses だけで十分です。

  6. 必要に応じて、設定した内容が適切に機能するかどうかをテストによって確認します。そのためには、「LDAP ユーザのクエリ」セクションにある青いアイコン「ユーザ クエリのテスト」をクリックします。
  7. 保存」をクリックして変更を保存します。

  8. 「LDAP グループのクエリ」セクションに移動します。

    設定」セクションの「LDAP クエリ フィールドを自動入力」フィールドをオンにしなかった場合は、「グループ フィールドを自動入力」をクリックすることで自動入力を行うことができます。

  9. オプションのグループ機能を使用するには、「検索を開始するディレクトリ ノード」フィールド内に、ディレクトリ内のすべてのグループの情報が格納されているノードを示す完全な LDAP ディレクトリ パス (LDAP 内のディレクトリ) を指定します。この設定により、LDAP グループの検索範囲が適度に絞り込まれます。この設定の詳細については、ステップ 2 を参照してください。
  10. ユーザやメーリング リストの検索および識別方法をアンチスパムに指示するには、「フィルタ」フィールドに標準の LDAP フィルタ構文で LDAP フィルタを入力します。このフィールドには、サンプル構文が記されています。この設定の詳細については、ステップ 3 を参照してください。
  11. ユーザ ログイン名の属性」フィールドで、グループ名に対応するグループの属性を指定します。
  12. グループを指定する一般的な方法として、メーリング リストがあります。LDAP のメーリング リスト エントリには、そのリストのメンバーを指定する特別なフィールドが 1 つあります。「グループ メンバーの属性」フィールドにはその情報を入力します。
  13. 一部の LDAP 設定では、LDAP 内の各ユーザのエントリの内部に、そのユーザが所属するグループまたはメーリング リストの一覧を示す属性があります。「ユーザ メンバーシップの属性」フィールドでその属性を指定します。
  14. 必要に応じて、設定した内容が適切に機能するかどうかをテストによって確認します。そのためには、「LDAP ユーザのクエリ」セクションにある青いアイコン「ユーザ クエリのテスト」をクリックします。
  15. 保存」をクリックして変更を保存します。