コマンド行で mqsicreateconfigurableservice コマンドを入力します。 以下に例を示します。
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
-n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
-v "LDAP,¥"ldap://ldap.acme.com:389/ou=sales,o=acme.com¥",LDAP,
¥"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com¥",TRUE,TRUE
LDAP URL (コンマを含む) は、エスケープ二重引用符 (¥" と ¥") とで囲む必要があります。これにより URL のコンマは、mqsicreateconfigurableservice の値パラメーターのコンマ分離文字と混同されなくなります。
LDAP URL にスペースがあるエレメント名が含まれている場合 (この場合は cn=All Sales)、
-v フラグの後の一連の値は二重引用符 (") で囲む必要があります。
コマンドの構造に関する詳細については、mqsicreateconfigurableservice コマンドを参照してください。
コマンドのセキュリティー固有の部分は、以下の方法で定義できます。
- authentication を LDAP に設定します。 これにより着信 ID が必ず検証されます。
- authenticationConfig は、以下の構文を使用して設定します。
ldap[s]://server[:port]/baseDN[?[uid_attr][?[base|sub]]]
以下に例を示します。
ldap://ldap.acme.com:389/ou=sales,o=acme.com
ldaps://localhost:636/ou=sales,o=acme?cn?base
- ldap:
- (必須) 固定プロトコル・ストリング。
- s:
- (オプション) SSL を使用するかどうかを指定します。 デフォルトは「SSL を使用しない」です。
- server:
- (必須) 接続する LDAP サーバーの名前または IP アドレス。
- port:
- (オプション) 接続先のポート。 デフォルトは 389 です (非 SSL)。 SSL が使用可能にされている LDAP サーバーの場合、ポートは一般に 636 です。
- baseDN
- (必須) ディレクトリー内のすべてのユーザーの基本識別名 (DN) を定義するストリング。 ユーザーがさまざまなサブツリー内に存在する場合は、ユーザー名の検索が一意的に必須ユーザー項目に解決される共通サブツリーを指定し、sub 属性を設定します。
- uid_attr:
- (オプション) 着信ユーザー名がマップする属性を定義するストリング。一般には uid、CN、または E メール・アドレスです。 デフォルトは uid です。
- base|sub:
- (オプション) 基本またはサブツリー検索を実行するかどうかを定義します。
base が定義されている場合、ユーザーの DN を uid_att、username、
および baseDN の各値で構成できるので、認証はさらに高速になります。 sub が選択されている場合、DN を解決する前に検索を実行する必要があります。 デフォルトは sub です。
- authorization を LDAP に設定します。 これにより着信 ID が、LDAP 内のグループ・メンバーシップについて必ず検査されます。
- authorizationConfig は、以下の構文を使用して設定します。
ldap[s]://server[:port]/groupDN[?[member_attr]
[?[base|sub][?[x-userBaseDN=baseDN,
x-uid_attr=uid_attr]]]]
以下に例を示します。
ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,
x-uid_attr=emailaddress
- ldap:
- (必須) 固定プロトコル・ストリング。
- s:
- (オプション) SSL を使用するかどうかを指定します。 デフォルトは「SSL を使用しない」です。
- server:
- (必須) 接続する LDAP サーバーの名前または IP アドレス。
- port:
- (オプション) 接続先のポート。 デフォルトは 389 です (非 SSL)。 SSL が使用可能にされている LDAP サーバーの場合、ポートは一般に 636 です。
- groupDN
- (必須) グループの完全定義識別名。このグループ内でユーザーはアクセスが許可されるメンバーでなければなりません。
- member_attr:
- (オプション) 検索をフィルター操作するために使用されるグループの属性。
デフォルトは、member および uniquemember の両方の属性の検索です。
以下のオプションは、認証が許可に先行しておらず、認証構成ストリングが指定されていない場合にのみ必要です。 認証構成ストリングが指定されている場合、以下のパラメーターは無視され、認証用に
baseDN、
uid_attr、および
[base|sub] で提供されたパラメーターが代わりに使用されます。
- base|sub:
- (オプション) 基本またはサブツリー検索を実行するかどうかを定義します。
base が定義されている場合、ユーザーの DN を uid_att + username + baseDN で構成できるので、認証はさらに高速になります。 sub が選択されている場合、DN を解決する前に検索を実行する必要があります。 デフォルトは sub です。
- baseDN
- (オプション) ディレクトリー内のすべてのユーザーの基本識別名を定義するストリング。 ストリング x-userBaseDN が先行していなければなりません。
BaseDN 内のコンマは %2c とレンダリングされます。
- x-uid_attr:
- (オプション) 着信ユーザー名がマップする属性を定義するストリング。一般には uid、CN、または E メール・アドレスです。 デフォルトは uid です。 ストリング x-uid_attr が先行していなければなりません。
コマンドをバッチ (.bat) ファイルまたはコマンド (.cmd) ファイルから実行依頼する場合、LDAP URL に LDAP URL「パーセント 16 進」エスケープ文字による拡張が含まれていれば (例えば、コンマに置き換わる
%2c、またはスペースに置き換わる
%20)、それらのパーセント符号はさらに別のパーセント記号 (
%%) を使用して、バッチ・インタープリターからエスケープする必要があります。
以下に例を示します。
mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN
-n authentication,authenticationConfig,authorization,authorizationConfig -v
"LDAP,¥"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub¥",
LDAP,¥"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,
x-uid_attr=emailaddress¥""
選択されたグループは LDAP サーバー上で定義されていなければならず、すべての必須ユーザーは、グループのメンバーでなければなりません。