WebSphere Enterprise Service Bus for z/OS バージョン 6.2.0 オペレーティング・システム: z/OS


ユーザー・レジストリーとしての Lightweight Directory Access Protocol (LDAP) の構成

デフォルトでは、ユーザー・レジストリーはローカル・オペレーティング・システム・レジストリーです。 外部の Lightweight Directory Access Protocol (LDAP) も、ユーザー・レジストリーとして 使用することができます。

始める前に

このタスクは、管理 セキュリティーがオンになっていることを前提としています。

LDAP を使用してユーザー・レジストリーにアクセスするには、有効なユーザー名 (ID) とパスワード、レジストリー・サーバーのサーバー・ホストとポート、基本識別名 (DN)、必要に応じてバインド DN とバインド・パスワードが必要です。

検索可能なユーザー・レジストリーから、任意の有効なユーザーを選択することができます。管理ロールを持つ任意のユーザー ID を使用してログオンできます。

手順
  1. 管理コンソールを始動します。
    • セキュリティーが現在無効になっている場合は、ユーザー ID の入力画面が表示されます。入力画面が表示されたら、任意のユーザー ID を入力してログインします。
    • セキュリティーが現在有効になっている場合は、ユーザー ID とパスワードの入力画面が表示されます。入力画面が表示されたら、事前に定義された管理ユーザー ID とパスワードを入力してログインします。
  2. 「セキュリティー」を展開し、「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
  3. 「管理、アプリケーション、およびインフラストラクチャーの保護 (Secure administration, applications, and infrastructure)」ページで、以下の手順を実行します。
    1. 「管理セキュリティーを使用可能にする」が選択されていることを確認します。
    2. 「使用可能なレルム定義 (Available realm Definitions)」リストから、「スタンドアロン LDAP レジストリー」を選択します。
    3. 「構成」をクリックします。
  4. 「スタンドアロン LDAP レジストリー」ページの「構成」タブで、以下の手順を実行します。
    1. 「基本管理ユーザー名」フィールドに有効なユーザー名を入力します。

      この値は、レジストリーで定義されており、管理特権が付与されているユーザーの名前です。このユーザー名は、管理コンソールへアクセスするときに使用します。また、wsadmin コマンドでも使用されます。

      「拡張 LDAP 設定」ページのユーザー・フィルターで定義されているとおり、ユーザーの完全な識別名 (DN) またはユーザーの短縮名を入力します。

    2. オプション: オプション「自動的に生成されたサーバー ID」または「リポジトリーに保管されたサーバー ID」のいずれかを選択します。
      • 「自動的に生成されたサーバー ID (Automatically generated server identity)」を選択すると、内部プロセス通信に使用されるサーバー ID がアプリケーション・サーバーによって生成されます。

        このサーバー ID は、「認証メカニズムと有効期限」ページで変更することができます。 「認証メカニズムと有効期限」ページにアクセスするには、「セキュリティー」 > 「管理、アプリケーション、およびインフラストラクチャーの保護 (Secure administration, applications, and infrastructure)」 > 「認証メカニズムと有効期限」をクリックします。「内部サーバー ID」フィールドの値を変更します。

      • 「リポジトリーに保管されたサーバー ID」オプションを選択した場合は、次の情報を入力します。
        • 「バージョン 6.0.x ノード上のサーバー・ユーザー ID または管理ユーザー (Server user ID or administrative user on a Version 6.0.x node)」に、セキュリティー目的でアプリケーション・サーバーの実行に使用されるユーザー ID を指定します。
        • 「パスワード」に、このユーザーに関連付けるパスワードを指定します。

      この ID は LDAP 管理者ユーザー ID ではありませんが、この項目は LDAP に存在している必要があります。

    3. オプション: 「LDAP サーバーのタイプ (Type of LDAP server)」リストから、LDAP サーバーを選択します。

      LDAP サーバーのタイプにより、WebSphere® ESB で使用されるデフォルト・フィルターが決まります。 これらのデフォルト・フィルターにより、「LDAP サーバーのタイプ (Type of LDAP server)」フィールドが「カスタム」に変更されます。これは、カスタム・フィールドが使用されるという意味です。このアクションは、「拡張 LDAP 設定」ページで「OK」または「適用」をクリックすると発生します。他の LDAP サーバーを使用するには、リストから「カスタム」タイプを選択し、必要に応じてユーザー・フィルターとグループ・フィルターを変更します。

      IBM Tivoli Directory Server ユーザーの場合、ディレクトリー・タイプとして IBM Tivoli Directory Server を選択することができます。IBM Tivoli Directory Server ディレクトリー・タイプを使用すると、パフォーマンスが向上します。

    4. 「ホスト」フィールドに、LDAP が常駐するコンピューターの完全修飾名を入力します。

      IP アドレスまたはドメイン・ネーム・システム (DNS) 名のいずれかを入力します。

    5. オプション: 「ポート」フィールドに、LDAP サーバーがそこで listen を実行するポートの番号を入力します。

      ホスト名とポート番号は、WebSphere ESB セル内の LDAP サーバーのレルムを表します。 そのため、異なるセルに存在するサーバーが Lightweight Third Party Authentication (LTPA) トークンを使用して相互に通信する場合は、これらのレルムはすべてのセルで正確に一致している必要があります。

      デフォルト値は 389 です。

      複数の WebSphere ESB がインストールされ、同一のシングル・サインオン・ドメインで実行するように構成されている場合、または WebSphere ESBWebSphere ESB の旧バージョンと相互運用する場合は、ポート番号がすべての構成で一致していることを確認してください。

    6. オプション: 「基本識別名 (DN)」フィールドに基本識別名を入力します。

      基本識別名は、この LDAP ディレクトリー・サーバーにおける LDAP 検索の開始点を示します。例えば、DN に cn=John Doe, ou=Rochester, o=IBM, c=US が設定されているユーザーの場合、基本 DN を以下のいずれかのオプションとして指定します (サフィックス c=us を想定): ou=Rochester、o=IBM、 c=us、あるいは o=IBM c=us または c=us

      許可検査用に、このフィールドでは大文字と小文字が区別されます。そのため 、別のセルや Lotus Domino® サーバーなどからトークンを受け取った場合に、サーバー内の基本識別名 (DN) が別のセルまたは Lotus Domino サーバーの基本 DN と正確に一致する必要があります。許可検査の際に大文字と小文字を区別する必要がない場合は、「許可検査で大/小文字を区別しない」を有効にしてください。

      WebSphere ESB の場合、識別名は Lightweight Directory Access Protocol (LDAP) 仕様に従って正規化されます。 正規化は、基本識別名のコンマおよび等号の前後のスペースを取り除くことによって行われます。o = ibm, c = uso=ibm, c=us は、正規化されていない識別名の例です。 o=ibm,c=us は、正規化された識別名の例です。

      このフィールドは、Lotus Domino Directory 以外のすべての LDAP ディレクトリーについて必須指定です。Lotus Domino Directory については任意で指定します。

    7. オプション: 「バインド識別名 (Bind distinguished name)」フィールドにバインド DN 名を入力します。

      ユーザー情報とグループ情報を取得する際に LDAP サーバー上で匿名バインドが使用できない場合は、バインド DN が必要です。

      匿名バインドを使用するように LDAP サーバーがセットアップされている場合、このフィールドには何も入力しないでください。名前を指定しない場合、アプリケーション・サーバーは匿名でバインドを行います。識別名の例については、「基本識別名」フィールドの説明を参照してください。

    8. オプション: 「バインド・パスワード」フィールドに、バインド DN に対応するパスワードを入力します。
    9. オプション: 「検索タイムアウト (Search time out)」の値を変更します。

      このタイムアウト値は、LDAP サーバーが応答を製品クライアントに送信する際に待機する最大時間です。この時間を超えると、要求が停止されます。デフォルトは 120 秒です。

    10. 「接続の再利用」が選択されていることを確認します。

      このオプションにより、サーバーが LDAP 接続を再利用するかどうかを指定します。このオプションをクリアするのは、ルーターを使用して要求を複数の LDAP サーバーに送信する場合に、そのルーターがアフィニティーをサポートしていない場合 (ほとんどありません) だけです。それ以外の場合は、このオプションを選択したままにしておきます。

    11. オプション: 「許可検査で大/小文字を区別しない」が有効になっていることを確認します。

      このオプションを有効にすると、許可検査で大文字と小文字が区別されなくなります。

      通常、許可検査には、ユーザーの完全な DN (LDAP サーバー内で固有であり、大文字と小文字が区別される) の検査も含まれます。ただし、IBM Directory Server または Sun ONE (以前の iPlanet) Directory Server LDAP サーバーを使用する場合は、LDAP サーバーから取得されるグループ情報に大文字と小文字の不整合があるため、このオプションを有効にする必要があります。この不整合の影響を受けるのは、許可検査だけです。それ以外の場合、このフィールドは任意で指定します。大文字と小文字を区別する許可検査が必要な場合は、無効に設定します。

      例えば、証明書を使用する際に、証明書の内容が LDAP サーバー項目の大文字/小文字と一致しない場合に、このオプションを選択します。製品と Lotus Domino 間でシングル・サインオン (SSO) を使用する場合も、「許可検査で大/小文字を区別しない」を有効にします。

      デフォルトでは有効になっています。

    12. オプション: LDAP サーバーで Secure Sockets Layer (SSL) 通信を使用する場合は、「SSL 使用可能」を選択します。

      「SSL 使用可能」オプションを選択すると、「中央管理対象」または「特定の SSL 別名を使用する (Use specific SSL alias)」を選択できます。

      • 中央管理対象

        このオプションを使用すると、特定のスコープ (1 つのロケーションのセル、ノード、サーバー、またはクラスターなど) に SSL 構成を指定することができます。「中央管理対象」オプションを使用するには、エンドポイントの特定のセットに SSL 構成を指定する必要があります。

        「エンドポイント・セキュリティー構成の管理」ページには、SSL プロトコルを使用するすべてのインバウンド・エンドポイントとアウトバウンド・エンドポイントが表示されます。

        「エンドポイント・セキュリティー構成の管理」ページの「インバウンド (Inbound)」セクションまたは「アウトバウンド (Outbound)」セクションを展開してノードの名前をクリックし、そのノード上のすべてのエンドポイントに使用される SSL 構成を指定します。LDAP レジストリーの場合、LDAP の SSL 構成を指定することにより、継承された SSL 構成をオーバーライドすることができます。

      • 特定の SSL 別名を使用する (Use specific SSL alias)

        このオプションは、オプションの下にあるリスト内のいずれかの SSL 構成を選択する場合に使用されます。

        この構成が使用されるのは、LDAP で SSL が有効になっている場合だけです。デフォルトは NodeDefaultSSLSettings です。

    13. 「OK」をクリックし、「適用」または「保管」をクリックして、「管理、アプリケーション、およびインフラストラクチャーの保護 (Secure administration, applications, and infrastructure)」ページに戻ります。
  5. 「管理、アプリケーション、およびインフラストラクチャーの保護 (Secure administration, applications, and infrastructure)」ページで、「現行として設定 (Set as current)」をクリックします。
  6. 「OK」をクリックして、「適用」または「保管」をクリックします。

次のタスク

更新が有効になるよう、すべてのサーバーを保管して停止してから再起動します。

サーバーが 問題なく始動する場合は、正しくセットアップされています。


task タスク・トピック

ご利用条件 | フィードバック


タイムスタンプ・アイコン 最終更新: 2010/07/05


http://publib.boulder.ibm.com/infocenter/dmndhelp/v6r2mx/topic//com.ibm.websphere.wesb620.zseries.doc/doc/tsec_ldap.html
Copyright IBM Corporation 2005, 2010. All Rights Reserved.
このインフォメーション・センターでは Eclipse テクノロジーが採用されています (http://www.eclipse.org)。