このトピックでは、メッセージ・フローを構成して、Lightweight Directory
Access Protocol (LDAP) を使用した ID の許可を実行する方法を説明しています。
始める前に:
許可を実施するためにメッセージ・フローを構成する前に、適当なセキュリティー・プロファイルの存在を確認する必要があります。存在していなければ新規のセキュリティー・プロファイルを作成する必要があります。 LDAP 用セキュリティー・プロファイルの作成を参照してください。
許可のために LDAP が使用される場合、ブローカーは着信ユーザー名が、指定されたグループのメンバーかどうかを判断する必要があります。 これを実行するには、
ブローカーは以下の情報を必要とします。
- ユーザー名を LDAP 項目に解決するために、ブローカーは受け入れられるログイン ID の基本識別名 (Base DN) を知る必要があります。
これは、ブローカーが同じ名前の異なる項目を区別できるようにするために必要です。
- グループ名から項目リストを取得するために、グループ名は一般的な名前ではなく、そのグループの識別名でなければなりません。 そのグループに対して LDAP 検索が行われ、ユーザーの識別名に合致する項目が見つかるか、ユーザー名が検査されます。
- LDAP ディレクトリーが認識されない ID によるログインを許可せず、サブツリー上の検索アクセス権を与えていない場合、ブローカーが検索のために使用できる、権限がある別のログイン ID をセットアップする必要があります。 mqsisetdbparms コマンドを使用して、ユーザー名とパスワードを、次のように指定します。
mqsisetdbparms -n ldap::LDAP -u username -p password
または mqsisetdbparms -n ldap::<servername> -u username -p password
ここで、<servername> は基本 LDAP サーバー名です。 例えば、ldap.mydomain.com です。ldap::LDAP を指定すると、これはブローカーのデフォルト設定を作成します。特定の <servername> のログイン ID を作成するために明示的に mqsisetdbparms コマンドを使用しなかった場合、ブローカーがこれを使用します。
次いで、明示的な ldap::servername エントリーがないすべてのサーバーは、ldap::LDAP エントリーの信任状を使用して開始します。
これは、以前にデフォルトで無名のバインドを使用していたすべてのサーバーは、ldap::LDAP の詳細を使用して開始することを意味します。
-u パラメーターで指定したユーザー名は、LDAP サーバーによって完全なユーザー名として認識されなければなりません。 ほとんどの場合、これはユーザーの完全 DN を指定する必要があることを意味します。 代わりに、ユーザー名を無名とするように指定して、ブローカーがこの LDAP サーバーに無名でバインドするように強制できます。 無名でないバインド (ldap::LDAP) をデフォルトとして指定している場合は、これが役立つことがあります。 以下に例を示します。
mqsisetdbparms -n ldap::<servername> -u anonymous -p password
この場合、
password に指定した値は無視されます。
LDAP 許可を有効にする手順
既存のメッセージ・フローが LDAP を使用した許可を実行できるようにするには、Broker Archive エディターを使用して、許可が有効になっているセキュリティー・プロファイルを選択します。 セキュリティー・プロファイルを、メッセージ・フロー上または個々の入力ノード上に設定することができます。 入力ノードにセキュリティー・プロファイルが設定されていない場合、メッセージ・フロー上の設定値から設定値が継承されます。
- 「ブローカー・アプリケーション開発」パースペクティブに切り替えます。
- 「ブローカー開発」ビューで BAR ファイルを右クリックし、次いで「アプリケーションから開く」 > 「ブローカー・アーカイブ・エディター」をクリックします。
- 「管理および構成」タブをクリックします。
- セキュリティー・プロファイルを設定するフローまたはノードをクリックします。 メッセージ・フローまたはノードについて構成できるプロパティーが、「プロパティー」ビューに表示されます。
- 「セキュリティー・プロファイル名」フィールドで、許可用の LDAP を使用するセキュリティー・プロファイルを選択します。
- BAR ファイルを保存します。
SOAPInput ノードの場合、(基礎のトランスポート ID の代わりに) WS-Security ヘッダーの ID を使用するには、適切なポリシー・セットおよびバインディングも定義および指定する必要があります。 詳しくは、ポリシー・セットを参照してください。