手動で設定する
最終更新日: 2017.10.06
LDAP 認証の設定を mt-config.cgi に手動で行う場合は、以下の環境変数に適切な値を指定してください。
ユーザー認証の連携のための設定
ユーザー認証を連携するためには、以下の設定が必須となります。
- AuthenticationModule
- AuthenticationModule に LDAP を指定すると、ディレクトリサービスを利用したユーザー認証を行います。
- LDAPAuthURL
- ユーザー情報が格納されている、ディレクトリーサービスのパスを ldap(s) から始まる URL で指定します。URL に日本語を含む場合には、URL エスケープした文字を指定します。
例: ldap://ldap.example.com/dc=example,dc=com?attribute_name
attribute_name は、Movable Type のユーザー名とマッチさせるディレクトリーサービス上の属性名です。 - LDAPAuthBindDN
- ディレクトリサービスから情報を検索するときに利用する DN (Distinguished Name) を指定します。指定がない場合は、匿名バインド (anonymous bind) で接続します。
例: cn=Manager,dc=example,dc=com
- LDAPAuthPassword
- LDAPAuthBindDN で指定した DN のパスワードを指定します。
- LDAPAuthSASLMechanism
- ディレクトリサービスが SASL (Simple Authentication and Security Layer) をサポートしている場合、SASL の認証方法を指定します。PLAIN, DIGEST-MD5, CRAM-MD5, ANONYMOUS などが指定できます。
ユーザー管理連携のための環境変数の設定
ユーザー認証に加えて、ユーザー管理の連携に関する設定を行う場合は、以下の環境変数の設定を行ってください。
- ExternalUserManagement
- LDAP 認証において、ユーザー管理をディレクトリサービス側で行う場合は、1 を指定します。ディレクトリサービス側でユーザー管理を行わない場合は、0 を指定する必要があります。
- ExternalUserSyncFrequency
- ディレクトリサービスと、Movable Type のユーザー情報とグループ情報を同期する頻度を指定します。
- LDAPUserIdAttribute
- ディレクトリ・サービス側で、ユーザーを一意に識別する属性名を指定します。
例: entryUUID
- LDAPUserFullNameAttribute
- Movable Type にユーザーを作成するとき、ユーザーの表示名としてい使用される属性を指定します。
例: displayName
- LDAPUserEmailAttribute
- Movable Type にユーザーを作成するとき、ユーザーの電子メールアドレスとして使用される属性を指定します。
例: email
グループ管理の連携のための環境変数
以下の項目は、グループ情報を連携させる場合に必要です。
- ExternalGroupManagement
- LDAP 認証において、グループ管理をディレクトリサービス側で行う場合は、1 を指定します。ディレクトリサービス側でグループ管理を行わない場合は、0 を指定する必要があります。
- LDAPGroupSearchBase
- グループ情報が格納されている、ディレクトリーサービスのパスをホスト情報を除いたパスで指定します。
例: ou=Groups,dc=example,dc=com
- LDAPGroupFilter
- LDAPGroupSearchBase からグループ情報の検索を行うときに利用するフィルターを指定します
例: (objectClass=posixGroup)
- LDAPGroupIdAttribute
- ディレクトリサービス側のグループエントリーにおいてグループの識別子を定義する属性 (例: entryUUID) を指定します。Movable Type でグループ情報を識別するために用いられます。必須項目ではありませんが、設定を強く推奨します。
- LDAPGroupNameAttribute
- Movable Type にグループを作成するとき、グループの名前として使用される属性を指定します。
- LDAPGroupFullNameAttribute
- Movable Type にグループを作成するとき、グループの表示名として使用される属性を指定します。
- LDAPGroupMemberAttribute
- ディレクトリサービス側で、グループに属するユーザーを定義する属性を指定します。
例: memberUid
- LDAPUserGroupMemberAttribute
- ディレクトリ・サービス側で、グループ情報からユーザーを検索するときに利用される LDAPGroupMemberAttribute の値が、ユーザー情報のどの属性に一致するのかを指定します。
例: uid