-
ProselfのLDAP連携においてLDAPS(LDAP over SSL)を使用する際の注意点があれば教えてください。 まず前提として、連携先のLDAP/Active DirectoryサーバーにSSL証明書がインストールされていることが条件となります。
※SSL証明書をインストールするための手順については弊社のサポート範疇を超えておりますため、お客様にてお調べくださいますようお願いいたします。
上記前提条件が満たされている場合は、以下の手順によりLDAPSで連携することが可能となります。
-
管理画面 - システム設定 - システム - LDAP連携設定 - 接続先名 - 接続設定にて以下の設定を変更します。
- 連携時のポートをLDAPSで使用するポートに変更します(デフォルトは636)。
- その他 - LDAP over SSL において[使用する]のチェックをONにします。
-
設定変更後、管理画面 - システム設定 - メンテナンス - LDAPの手動同期を実施し、連携処理が正常に行われることを確認します。
なお、JDK8Update181以降を適用したProselfサーバーにおいては以下のケースで連携及び認証に失敗するため、それぞれのケースに応じた対応が必要となります。
-
連携先のサーバーにインストールされたSSL証明書にSubject Alternative Nameが含まれていない場合
◆回避策
-
FAQ396(https://www.proself.jp/support/faq396/)をご参照ください。
-
FAQ396(https://www.proself.jp/support/faq396/)をご参照ください。
-
LDAP連携接続設定のサーバーアドレスが連携先のサーバーにインストールされたSSL証明書のSubject Alternative Namesと一致していない場合
◆回避策(以下のいずれか)
-
FAQ396(https://www.proself.jp/support/faq396/)に記載しているエンドポイント識別アルゴリズムを無効するための手順を実施します。
-
LDAP連携接続設定のサーバーアドレスを連携先サーバーのSSL証明書内にあるSubject Alternative Namesと一致するように設定します。
※設定したサーバーアドレスがProselfサーバーから名前解決できない場合は、以下例のような記述をProselfサーバーのhostsファイルに追加してください。
{連携先サーバーのIPアドレス} {連携先サーバーのSSL証明書内にあるSubject Alternative Names}
-
FAQ396(https://www.proself.jp/support/faq396/)に記載しているエンドポイント識別アルゴリズムを無効するための手順を実施します。
※Subject Alternative Nameは以下例のようなコマンドを実行した結果出力される「subject=」以降の部分にて確認可能です。
openssl s_client -connect {連携先サーバーのアドレス}:636
(最終更新日:2023/11/22) -
管理画面 - システム設定 - システム - LDAP連携設定 - 接続先名 - 接続設定にて以下の設定を変更します。