デフォルトでは、ユーザー・レジストリーはローカル・オペレーティング・システム・レジストリーです。 外部の Lightweight Directory Access Protocol (LDAP) も、ユーザー・レジストリーとして 使用することができます。
LDAP を使用してユーザー・レジストリーにアクセスするには、有効なユーザー名 (ID) とパスワード、レジストリー・サーバーのサーバー・ホストとポート、基本識別名 (DN)、必要に応じてバインド DN とバインド・パスワードが必要です。
検索可能なユーザー・レジストリーから、任意の有効なユーザーを選択することができます。管理ロールを持つ任意のユーザー ID を使用してログオンできます。
この値は、レジストリーで定義されており、管理特権が付与されているユーザーの名前です。このユーザー名は、管理コンソールへアクセスするときに使用します。また、wsadmin コマンドでも使用されます。
「拡張 LDAP 設定」ページのユーザー・フィルターで定義されているとおり、ユーザーの完全な識別名 (DN) またはユーザーの短縮名を入力します。
このサーバー ID は、「認証メカニズムと有効期限」ページで変更することができます。 「認証メカニズムと有効期限」ページにアクセスするには、「セキュリティー」 > 「管理、アプリケーション、およびインフラストラクチャーの保護 (Secure administration, applications, and infrastructure)」 > 「認証メカニズムと有効期限」をクリックします。「内部サーバー ID」フィールドの値を変更します。
この ID は LDAP 管理者ユーザー ID ではありませんが、この項目は LDAP に存在している必要があります。
LDAP サーバーのタイプにより、WebSphere® ESB で使用されるデフォルト・フィルターが決まります。 これらのデフォルト・フィルターにより、「LDAP サーバーのタイプ (Type of LDAP server)」フィールドが「カスタム」に変更されます。これは、カスタム・フィールドが使用されるという意味です。このアクションは、「拡張 LDAP 設定」ページで「OK」または「適用」をクリックすると発生します。他の LDAP サーバーを使用するには、リストから「カスタム」タイプを選択し、必要に応じてユーザー・フィルターとグループ・フィルターを変更します。
IBM Tivoli Directory Server ユーザーの場合、ディレクトリー・タイプとして IBM Tivoli Directory Server を選択することができます。IBM Tivoli Directory Server ディレクトリー・タイプを使用すると、パフォーマンスが向上します。
IP アドレスまたはドメイン・ネーム・システム (DNS) 名のいずれかを入力します。
ホスト名とポート番号は、WebSphere ESB セル内の LDAP サーバーのレルムを表します。 そのため、異なるセルに存在するサーバーが Lightweight Third Party Authentication (LTPA) トークンを使用して相互に通信する場合は、これらのレルムはすべてのセルで正確に一致している必要があります。
デフォルト値は 389 です。
複数の WebSphere ESB がインストールされ、同一のシングル・サインオン・ドメインで実行するように構成されている場合、または WebSphere ESB を WebSphere ESB の旧バージョンと相互運用する場合は、ポート番号がすべての構成で一致していることを確認してください。
基本識別名は、この LDAP ディレクトリー・サーバーにおける LDAP 検索の開始点を示します。例えば、DN に cn=John Doe, ou=Rochester, o=IBM, c=US が設定されているユーザーの場合、基本 DN を以下のいずれかのオプションとして指定します (サフィックス c=us を想定): ou=Rochester、o=IBM、 c=us、あるいは o=IBM c=us または c=us。
許可検査用に、このフィールドでは大文字と小文字が区別されます。そのため 、別のセルや Lotus Domino® サーバーなどからトークンを受け取った場合に、サーバー内の基本識別名 (DN) が別のセルまたは Lotus Domino サーバーの基本 DN と正確に一致する必要があります。許可検査の際に大文字と小文字を区別する必要がない場合は、「許可検査で大/小文字を区別しない」を有効にしてください。
WebSphere ESB の場合、識別名は Lightweight Directory Access Protocol (LDAP) 仕様に従って正規化されます。 正規化は、基本識別名のコンマおよび等号の前後のスペースを取り除くことによって行われます。o = ibm, c = us や o=ibm, c=us は、正規化されていない識別名の例です。 o=ibm,c=us は、正規化された識別名の例です。
このフィールドは、Lotus Domino Directory 以外のすべての LDAP ディレクトリーについて必須指定です。Lotus Domino Directory については任意で指定します。
ユーザー情報とグループ情報を取得する際に LDAP サーバー上で匿名バインドが使用できない場合は、バインド DN が必要です。
匿名バインドを使用するように LDAP サーバーがセットアップされている場合、このフィールドには何も入力しないでください。名前を指定しない場合、アプリケーション・サーバーは匿名でバインドを行います。識別名の例については、「基本識別名」フィールドの説明を参照してください。
このタイムアウト値は、LDAP サーバーが応答を製品クライアントに送信する際に待機する最大時間です。この時間を超えると、要求が停止されます。デフォルトは 120 秒です。
このオプションにより、サーバーが LDAP 接続を再利用するかどうかを指定します。このオプションをクリアするのは、ルーターを使用して要求を複数の LDAP サーバーに送信する場合に、そのルーターがアフィニティーをサポートしていない場合 (ほとんどありません) だけです。それ以外の場合は、このオプションを選択したままにしておきます。
このオプションを有効にすると、許可検査で大文字と小文字が区別されなくなります。
通常、許可検査には、ユーザーの完全な DN (LDAP サーバー内で固有であり、大文字と小文字が区別される) の検査も含まれます。ただし、IBM Directory Server または Sun ONE (以前の iPlanet) Directory Server LDAP サーバーを使用する場合は、LDAP サーバーから取得されるグループ情報に大文字と小文字の不整合があるため、このオプションを有効にする必要があります。この不整合の影響を受けるのは、許可検査だけです。それ以外の場合、このフィールドは任意で指定します。大文字と小文字を区別する許可検査が必要な場合は、無効に設定します。
例えば、証明書を使用する際に、証明書の内容が LDAP サーバー項目の大文字/小文字と一致しない場合に、このオプションを選択します。製品と Lotus Domino 間でシングル・サインオン (SSO) を使用する場合も、「許可検査で大/小文字を区別しない」を有効にします。
デフォルトでは有効になっています。
「SSL 使用可能」オプションを選択すると、「中央管理対象」または「特定の SSL 別名を使用する (Use specific SSL alias)」を選択できます。
このオプションを使用すると、特定のスコープ (1 つのロケーションのセル、ノード、サーバー、またはクラスターなど) に SSL 構成を指定することができます。「中央管理対象」オプションを使用するには、エンドポイントの特定のセットに SSL 構成を指定する必要があります。
「エンドポイント・セキュリティー構成の管理」ページには、SSL プロトコルを使用するすべてのインバウンド・エンドポイントとアウトバウンド・エンドポイントが表示されます。
「エンドポイント・セキュリティー構成の管理」ページの「インバウンド (Inbound)」セクションまたは「アウトバウンド (Outbound)」セクションを展開してノードの名前をクリックし、そのノード上のすべてのエンドポイントに使用される SSL 構成を指定します。LDAP レジストリーの場合、LDAP の SSL 構成を指定することにより、継承された SSL 構成をオーバーライドすることができます。
このオプションは、オプションの下にあるリスト内のいずれかの SSL 構成を選択する場合に使用されます。
この構成が使用されるのは、LDAP で SSL が有効になっている場合だけです。デフォルトは NodeDefaultSSLSettings です。
サーバーが 問題なく始動する場合は、正しくセットアップされています。