このトピックでは、メッセージ・フローを構成して、Lightweight Directory
Access Protocol (LDAP) を使用した ID 認証を実行する方法を説明しています。
始める前に:
LDAP を使用した ID 認証を実行するためにメッセージ・フローを構成する前に、適切なセキュリティー・プロファイルが存在していることを確認するか、または新規セキュリティー・プロファイルを作成する必要があります。 LDAP 用セキュリティー・プロファイルの作成を参照してください。
ユーザーまたはシステムの ID を認証するために、ブローカーは ID と関連付けられたユーザー名とパスワードを使用して、LDAP サーバーへの接続を試行します。 これを実行するには、ブローカーは以下の情報を必要とします。
- ユーザー名を LDAP 項目に解決するために、ブローカーは受け入れられるログイン ID の基本識別名 (Base DN) を知る必要があります。
これは、ブローカーが同じ名前の異なる項目を区別できるようにするために必要です。
- ID のすべてが共通の基本 DN を持っているわけではないものの、サブツリーから一意的に解決できる場合、ブローカー構成内に DN を指定できます。 サブツリー検索が指定されている場合、ブローカーはまず最初に LDAP サーバーに接続して、認証に使用する完全なユーザー識別名 (DN) を入手するために、特定のユーザー名を検索する必要があります。 LDAP ディレクトリーが認識されない ID のログインを許可せず、サブツリー上の検索アクセス権を与えていない場合、ブローカーが検索のために使用できる、権限がある別のログイン ID をセットアップする必要があります。 mqsisetdbparms コマンドを使用して、ユーザー名とパスワードを指定します。 以下に例を示します。
mqsisetdbparms -n ldap::LDAP -u username -p password
またはmqsisetdbparms -n ldap::<servername> -u username -p password
ここで、<servername> は基本 LDAP サーバー名で、例えば ldap.mydomain.com です。
ldap::LDAP を指定すると、これはブローカーのデフォルト設定を作成します。特定の <servername> のログイン ID を作成するために明示的に mqsisetdbparms コマンドを使用しなかった場合、ブローカーがこれを使用します。
次いで、明示的な ldap::servername エントリーがないすべてのサーバーは、ldap::LDAP エントリーの信任状を使用して開始します。
これは、以前にデフォルトで無名のバインドを使用していたすべてのサーバーは、ldap::LDAP の詳細を使用して開始することを意味します。
-u パラメーターで指定したユーザー名は、LDAP サーバーによって完全なユーザー名として認識されなければなりません。 ほとんどの場合、これはユーザーの完全 DN を指定する必要があることを意味します。 代わりに、ユーザー名を無名とするように指定して、ブローカーがこの LDAP サーバーに無名でバインドするように強制できます。 無名でないバインド (ldap::LDAP) をデフォルトとして指定している場合は、これが役立つことがあります。 以下に例を示します。
mqsisetdbparms -n ldap::<servername> -u anonymous -p password
この場合、
password に指定した値は無視されます。
LDAP 認証を有効にする手順
既存のメッセージ・フローが ID 認証を実行できるようにするには、Broker Archive エディターを使用して、認証用の LDAP を使用するセキュリティー・プロファイルを選択します。 セキュリティー・プロファイルを、メッセージ・フロー上または個々の入力ノード上に設定することができます。
入力ノードにセキュリティー・プロファイルが設定されていない場合、メッセージ・フロー上の設定値から設定値が継承されます。
- 「ブローカー・アプリケーション開発」パースペクティブに切り替えます。
- 「ブローカー開発」ビューで BAR ファイルを右クリックし、次いで「アプリケーションから開く」 > 「ブローカー・アーカイブ・エディター」をクリックします。
- 「管理および構成」タブをクリックします。
- セキュリティー・プロファイルを設定するフローまたはノードをクリックします。 メッセージ・フローまたはノードについて構成できるプロパティーが、「プロパティー」ビューに表示されます。
- 「セキュリティー・プロファイル名」フィールドで、認証用の LDAP を使用するセキュリティー・プロファイルを選択します。
- BAR ファイルを保存します。
SOAPInput ノードの場合、(基礎のトランスポート ID の代わりに) WS-Security ヘッダーの ID を使用するには、適切なポリシー・セットおよびバインディングも定義および指定する必要があります。
詳しくは、ポリシー・セットを参照してください。
メッセージ ID に認証のために十分な情報が含まれていない場合は、情報をメッセージ本体から取得する必要があります。 例えば、認証用にパスワードが必要であるが、WebSphere MQ からメッセージがユーザー名だけで着信する場合、パスワード情報をメッセージ本体から取得する必要があります。 詳しくは、ID またはセキュリティー・トークンの抽出の構成を参照してください。