質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

Q&A

解決済

1回答

11037閲覧

ActiveDirectoryにおけるバインドユーザについて

hirdd

総合スコア50

LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

0グッド

0クリップ

投稿2017/05/15 11:35

ActiveDirectoryにおけるldap機能について質問させてください。ldapの情報にアクセスするには、匿名認証以外の場合、バインドユーザが必要になると認識しています。そこで、"Users"にはいくつかのユーザがデフォルトで作成されていると思いますが、この中でバインドユーザである条件??とはなんでしょうか。プロパティを見てもそういった情報が見当たりませんでした。おそらく、Administratorがデフォルトでは、バインドユーザになっていると思いますが、他のユーザもバインドユーザとして使用できるのでしょうか。
自分でユーザを作成すると、それはバインドユーザとして使用できるのでしょうか。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

確かに公式の文章は見当たりませんね。
ここからの回答は推測も混じっているので、間違っていたらすいません。

プロトコルldap(389/tcp)接続においては参照のみしかできませんが、接続対象のドメインに登録されているADアカウントであれば接続は可能だと思います。

ldapのデータを編集する目的であれば、ldaps(636/tcp)接続(要証明書)かつ、Domain Admin の権限が必要です。
ここからが自信ないのですが、上記権限に加えて、Enterprise Admins か Schema Adminsが必要になるかもです。

投稿2017/05/16 00:32

over

総合スコア4309

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hirdd

2017/05/16 12:23

回答ありがとうございます。2点質問させてください。 1.権限とは、"Active Directory Users and Computers"でユーザを選択→properties→MemberOfに出てくるものでしょうか?? 2."Users"で右クリック→newを選択すると、選択項目の中に、"User"と"InetOrgPerson"と出てきます。"InetOrgPerson"はldapにおいてユーザを表すスキーマだったと記憶しておりますが、この二つの違いは何でしょうか? 勘違いしている箇所などあれば、遠慮なくご指摘ください。
over

2017/05/17 00:03

> 1.権限とは、"Active Directory Users and Computers"でユーザを選択→properties→MemberOfに出てくるものでしょうか?? そうです。補足すると該当はActive Directoryで提供されるGroup オブジェクトであり、このGroup オブジェクトに参加しているアカウントは、該当箇所で参加しているGroup オブジェクトとして表示されます。 > "Users"で右クリック→newを選択すると、選択項目の中に、"User"と"InetOrgPerson"と出てきます。"InetOrgPerson"はldapにおいてユーザを表すスキーマだったと記憶しておりますが、この二つの違いは何でしょうか? InetOrgPerson はRFCで既定されているオブジェクトクラスです。 ユーザに持たせる属性は、提供するサービス毎に変わってくるかと存じます。 その場合、持たせる属性によって、使用するオブジェクトクラスも変わってきます。 InetOrgPersonオブジェクトクラスはユーザに持たせるに都合のよい属性(例えばパスワードだとか電話番号だとか組織名だとか)があるのだと思いますが、一概にユーザを表すものではないとの理解でいます。 UserはMicrosoft Active Directoryが定義するUserオブジェクトであり、このサービス自体の制御単位になります。 InetOrgPersonは別サービスで参照される場合に使用するオブジェクトになります。 InetOrgPersonについては公式で以下と記載されています。 ------ Active Directory ドメイン サービス (AD DS) は、InetOrgPerson オブジェクト クラスと、RFC (Request for Comments) 2798 で定義されている関連属性をサポートします。InetOrgPerson オブジェクト クラスは、複数のマイクロソフト以外のライトウェイト ディレクトリ アクセス プロトコル (LDAP) および X.500 ディレクトリ サービスで、組織内の人々を表すために使用されます。 ------ https://technet.microsoft.com/ja-jp/library/cc755130(v=ws.11).aspx
hirdd

2017/05/31 12:37

ありがとうございます!!非常に詳しく丁寧な回答で非常に理解が進みました。
hirdd

2017/05/31 13:01

すみません、もう一つだけ質問させて頂いてもよろしいでしょうか。最初の回答に記載されている、"ADアカウント"とは、Microsoft Active Directoryが定義するUserオブジェクトの事を指していますでしょうか?
over

2017/06/01 00:21

> Userオブジェクト その意図で回答に記載しています。
hirdd

2017/06/01 00:58

回答ありがとうございます。度々すみませんが、"UserはMicrosoft Active Directoryが定義するUserオブジェクトであり、このサービス自体の制御単位になります。"と回答頂きましたが、"このサービス自体の制御"とは具体的には、どのような事を指しているか教えていただく事は可能ですか?
over

2017/06/01 01:39

主なサービスは以下と認識しています。 ・ドメインにログインする ・ドメインポリシーに従った端末動作等 ・ドメインACLに従ったリソースへの接続制御 他シングルサインオン、他サービスとの連携があげられると思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問