Pivotal Knowledge Base

フォローする

LDAP 設定にグループ検索ベースが必要

事象

Pivotal Cloud Foundry® 1.3.x からアップグレードした際に、すでに LDAP を適切に設定し動作しているのにもかかわらず、ユーザーログインができなくなってしまうことがある。

あるいは、ユーザー認証に LDAP を使うように Pivotal Cloud Foundry(PCF)をインストール・設定しようとした際に、LDAP ユーザー自体はルックアップできるのに、ユーザーログインができないことがある。

製品

Pivotal Cloud Foundry 1.4.x

原因

現在、ユーザー認証に LDAP を使用するよう PCF のインストール・設定を実施する際に、LDAP グループを PCF のグループにマッピングしていなくても、LDAP グループ検索ベースを設定する必要がある。

この要件は、PCF 1.3.x から 1.4.x へアップグレードする場合にも適用される。なぜなら、PCF 1.3.x の設定には、グループ設定フィールドがないためである。したがって、アップグレードの際には、当該フィールドを追加する必要がある。

当該フィールドが必要である理由は、Ops Manager により生成される UAA(User Account and Authentication)設定基盤の処理で必要とされるからである。UAA コンポーネントは、与えられた UAA スコープを LDAP グループにマッピングするためのプロパティーを保持する。そのプロパティーは uaa.ldap.groups.profile_type というもので、Ops Manager 1.4 ではそのプロパティー値は groups-map-to-scopes となっている。この値が、UAA で LDAP グループ検索ベースを必要とするきっかけとなり、それに基づいて動作している。したがって、当該値が空の場合はエラーが発生する。

解決策

この問題の回避策としては、適切な値で検索ベースを追加する必要がある。こちらは、対象 LDAP 構成において存在するものである限り、任意の DN が設定可能である。特に決まっていない場合は、LDAP 検索ベースフィールドに設定されているものと同じ値を適用するば良いである。

この問題に対する改修は、PCF 1.5 で提供予定である。

影響・リスク

もしインストールに先だって LDAP グループ検索ベースを追加していないと、ユーザーはシステムにログインできなくなるであろう。これは、システムをアップグレードする際に、Ops Manager 経由で設定を確定・適用するまで、ユーザーがログインできないので、とりわけ重要である。

コメント

Powered by Zendesk