CREATE LDAP SERVER 文

CREATE LDAP SERVER ldapua-server-name
[ ldapua-server-attribs ... ]
[ WITH ACTIVATE ]

ldapua-server-attribs :
SEARCH DN search-dn-attributes ...
| AUTHENTICATION URL { 'url-string' | NULL }
| CONNECTION TIMEOUT timeout-value
| CONNECTION RETRIES retry-value
| TLS { ON | OFF }

search-dn-attributes :
URL { 'url-string' | NULL }
| ACCESS ACCOUNT { 'dn-string' | NULL }
| IDENTIFIED BY ( 'password' | NULL }
| IDENTIFIED BY ENCRYPTED { encrypted-password | NULL }

SEARCH DN 句 SEARCH DN 句のパラメータにはデフォルト値がありません。
- URL この句を使用して、ホストを (名前または IP アドレスで) 指定したり、ポート番号を指定したり、指定されたユーザ ID の「LDAP 識別名 (DN)」のルックアップを行うために実行する検索を指定します。url-string は正しい LDAP URL 構文であることが検証されてから ISYSLDAPSERVER に格納されます。この文字列の最大サイズは 1024 バイトです。
  url-string のフォーマットは、LDAP URL 標準に準拠している必要があります。 http://www.isode.com/whitepapers/ldap-standards.htmlを参照してください。
- ACCESS ACCOUNT この句を使用して、データベースサーバによって LDAP サーバに接続するために使用される DN を指定します。これは SQL Anywhere ユーザではなく、LDAP サーバへのログイン用に LDAP サーバで作成されたユーザです。このユーザは、SEARCH DN URL 句で指定される場所にあるユーザ ID によって DN を検索するために、LDAP サーバ内でパーミッションを得る必要があります。この文字列の最大サイズは 1024 バイトです。
- IDENTIFIED BY この句を使用して、ACCESS ACCOUNT で識別されるユーザに関連付けられたパスワードを指定します。最大サイズは 255 バイトで、NULL には設定できません。
- IDENTIFIED BY ENCRYPTED この句を使用して、暗号化形式で提供され、ディスクのいずれかの場所に保存されたバイナリ値である、ACCESS ACCOUNT で識別されるユーザに関連付けられたパスワードを指定します。バイナリの最大サイズは 289 バイトで、NULL には設定できません。IDENTIFIED BY ENCRYPTED により、パスワードを既知にせずに取得および使用できます。
AUTHENTICATION URL 句 この句を使用して、ホストを名前または IP アドレスで識別したり、ユーザ認証に使用する LDAP サーバのポート番号を識別する url-string を指定します。以前の DN 検索およびユーザパスワードから取得したユーザの DN は、新しい接続を認証 URL にバインドするために使用されます。LDAP サーバへの正常な接続は、接続ユーザの ID の証明とみなされます。このパラメータにはデフォルト値はありません。この文字列に対するサイズ制限については、SYSLDAPSERVER システムビューを参照してください。
CONNECTION TIMEOUT 句 この句を使用して、DN の検索と認証の両方に対する LDAP サーバへの接続タイムアウトをミリ秒単位で指定します。デフォルト値は 10 秒です。
CONNECTION RETRIES 句 この句を使用して、DN の検索と認証の両方に対する LDAP サーバへの接続再試行回数をミリ秒単位で指定します。有効な値の範囲は 1 ～ 60 で、デフォルト値は 3 です。
TLS 句 この句を使用して、DN の検索と認証の両方に対する LDAP サーバへの接続時の TLS プロトコルの使用を指定します。有効な値は ON と OFF です。デフォルトは OFF です。セキュア LDAP プロトコルを使用するには、URL の先頭にldap:// ではなく ldaps:// を使用します。セキュア LDAP を使用するときは、TLS オプションを OFF に設定する必要があります。
WITH ACTIVATE 句 この句を使用して、LDAP サーバをアクティブにしてすぐに使用できるようにします。この句によって、LDAP ユーザ認証の定義とアクティブ化を 1 つの文で行えるようにして、新しい LDAP サーバの状態を READY に変更します。

なし

MANAGE ANY LDAP SERVER システム権限が必要です。

オートコミット。

SQL/2008 ベンダー拡張。

この例は、検索パラメータ、認証 URL、3 秒のタイムアウトを設定し、LDAP サーバをアクティブにしてユーザの認証を開始できるようにします。TLS プロトコルまたは SECURE LDAP プロトコルを使用しない LDAP サーバへの接続が確立されます。次の例で login_mode オプションを設定するには、CREATE LDAP SERVER 文の実行に必要な権限に加えて、SET ANY SECURITY システム権限も必要です。

SET OPTION PUBLIC.login_mode = 'Standard,LDAPUA';
CREATE LDAP SERVER apps_primary 
    SEARCH DN 
        URL  'ldap://voyager:389/dc=MyCompany,dc=com??sub?cn=*' 
        ACCESS ACCOUNT 'cn=aseadmin, cn=Users, dc=mycompany, dc=com'
        IDENTIFIED BY 'Secret99Password'
    AUTHENTICATION URL 'ldap://voyager:389/'
    CONNECTION TIMEOUT 3000
    WITH ACTIVATE;

この例は同じ検索パラメータを使用しますが、ldaps:// を指定することにより、ホスト voyager、ポート 636 の LDAP サーバを使用してセキュア LDAP 接続が確立されるようにします。このポートにはセキュア LDAP プロトコルを使用している LDAP クライアントだけが接続できます。'ldaps://voyager:636' で LDAP サーバによって使用される証明書に署名する認証局 (CA) の証明書が含まれているファイル名を使用して、データベースセキュリティオプション Trusted_certificate_file が設定されている必要があります。LDAP サーバとのハンドシェイクの間、LDAP サーバから提示された証明書がデータベースサーバによって検証され、ファイル内にリストされているいずれかの証明書によって署名されているかどうか確認されます。LDAP サーバに対して指定された ACCESS ACCOUNT パラメータと IDENTIFIED BY パラメータも、LDAP サーバによって検証されます。

SET OPTION PUBLIC.login_mode = 'Standard,LDAPUA';
SET OPTION PUBLIC.trusted_certificates_file = '/opt/sybase/shared/trusted.txt';
CREATE LDAP SERVER secure_primary 
    SEARCH DN 
        URL  'ldaps://voyager:636/dc=MyCompany,dc=com??sub?cn=*' 
        ACCESS ACCOUNT 'cn=aseadmin, cn=Users, dc=mycompany, dc=com'
        IDENTIFIED BY 'Secret99Password'
    AUTHENTICATION URL 'ldaps://voyager:636/'
    CONNECTION TIMEOUT 3000
    WITH ACTIVATE;

CREATE LDAP SERVER 文

構文

パラメータ

備考

権限

関連する動作

参照

標準と互換性

例