WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

LDAP 用セキュリティー・プロファイルの作成

Lightweight Directory Access Protocol (LDAP) または Secure LDAP (LDAPS) で使用するセキュリティー・プロファイルは、mqsicreateconfigurableservice コマンドを使用するか、WebSphere® Message Broker Explorer にあるエディターを使用して作成します。

始める前に:

LDAP バージョン 3 に準拠している LDAP サーバー (例えば以下) を使用していることを確認します。
  • IBM® Tivoli® Directory Server
  • Microsoft Active Directory
  • OpenLDAP

LDAP ディレクトリーが、認識されないユーザー ID によるログインを許可せず、サブツリー上の検索アクセス権を与えていない場合、ブローカーが検索のために使用できる、権限がある別のログイン ID もセットアップする必要があります。 これを行う方法の詳細は、 LDAP を使用した許可の構成またはLDAP を使用した認証の構成を参照してください。

mqsicreateconfigurableservice を使用したセキュリティー・プロファイルの作成

mqsicreateconfigurableservice コマンドを使用して、認証、許可、またはその両方に LDAP を使用するセキュリティー・プロファイルを作成することができます。 セキュリティー・プロファイルにより、各メッセージは認証 ID を持ち、メッセージ・フローに対して許可されるようになります。

  1. ご使用の環境に合わせて構成したコマンド・ウィンドウを開きます。
  2. コマンド行で mqsicreateconfigurableservice コマンドを入力します。 以下に例を示します。
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
    -n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
    -v "LDAP,¥"ldap://ldap.acme.com:389/ou=sales,o=acme.com¥",LDAP,
    ¥"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com¥",TRUE,TRUE

    LDAP URL (コンマを含む) は、エスケープ二重引用符 (¥"¥") とで囲む必要があります。これにより URL のコンマは、mqsicreateconfigurableservice の値パラメーターのコンマ分離文字と混同されなくなります。

    LDAP URL にスペースがあるエレメント名が含まれている場合 (この場合は cn=All Sales)、 -v フラグの後の一連の値は二重引用符 (") で囲む必要があります。

    コマンドの構造に関する詳細については、mqsicreateconfigurableservice コマンドを参照してください。

    コマンドのセキュリティー固有の部分は、以下の方法で定義できます。

    1. authenticationLDAP に設定します。 これにより着信 ID が必ず検証されます。
    2. authenticationConfig は、以下の構文を使用して設定します。
      ldap[s]://server[:port]/baseDN[?[uid_attr][?[base|sub]]]

      以下に例を示します。

      ldap://ldap.acme.com:389/ou=sales,o=acme.com
      ldaps://localhost:636/ou=sales,o=acme?cn?base
      ldap:
      (必須) 固定プロトコル・ストリング。
      s:
      (オプション) SSL を使用するかどうかを指定します。 デフォルトは「SSL を使用しない」です。
      server:
      (必須) 接続する LDAP サーバーの名前または IP アドレス。
      port:
      (オプション) 接続先のポート。 デフォルトは 389 です (非 SSL)。 SSL が使用可能にされている LDAP サーバーの場合、ポートは一般に 636 です。
      baseDN
      (必須) ディレクトリー内のすべてのユーザーの基本識別名 (DN) を定義するストリング。 ユーザーがさまざまなサブツリー内に存在する場合は、ユーザー名の検索が一意的に必須ユーザー項目に解決される共通サブツリーを指定し、sub 属性を設定します。
      uid_attr:
      (オプション) 着信ユーザー名がマップする属性を定義するストリング。一般には uid、CN、または E メール・アドレスです。 デフォルトは uid です。
      base|sub:
      (オプション) 基本またはサブツリー検索を実行するかどうかを定義します。 base が定義されている場合、ユーザーの DN を uid_attusername、 および baseDN の各値で構成できるので、認証はさらに高速になります。 sub が選択されている場合、DN を解決する前に検索を実行する必要があります。 デフォルトは sub です。
    3. authorizationLDAP に設定します。 これにより着信 ID が、LDAP 内のグループ・メンバーシップについて必ず検査されます。
    4. authorizationConfig は、以下の構文を使用して設定します。
      ldap[s]://server[:port]/groupDN[?[member_attr]
      [?[base|sub][?[x-userBaseDN=baseDN,
      x-uid_attr=uid_attr]]]]

      以下に例を示します。

      ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
      o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,
      x-uid_attr=emailaddress
      ldap:
      (必須) 固定プロトコル・ストリング。
      s:
      (オプション) SSL を使用するかどうかを指定します。 デフォルトは「SSL を使用しない」です。
      server:
      (必須) 接続する LDAP サーバーの名前または IP アドレス。
      port:
      (オプション) 接続先のポート。 デフォルトは 389 です (非 SSL)。 SSL が使用可能にされている LDAP サーバーの場合、ポートは一般に 636 です。
      groupDN
      (必須) グループの完全定義識別名。このグループ内でユーザーはアクセスが許可されるメンバーでなければなりません。
      member_attr:
      (オプション) 検索をフィルター操作するために使用されるグループの属性。 デフォルトは、member および uniquemember の両方の属性の検索です。
      以下のオプションは、認証が許可に先行しておらず、認証構成ストリングが指定されていない場合にのみ必要です。 認証構成ストリングが指定されている場合、以下のパラメーターは無視され、認証用に baseDNuid_attr、および [base|sub] で提供されたパラメーターが代わりに使用されます。
      base|sub:
      (オプション) 基本またはサブツリー検索を実行するかどうかを定義します。 base が定義されている場合、ユーザーの DN を uid_att + username + baseDN で構成できるので、認証はさらに高速になります。 sub が選択されている場合、DN を解決する前に検索を実行する必要があります。 デフォルトは sub です。
      baseDN
      (オプション) ディレクトリー内のすべてのユーザーの基本識別名を定義するストリング。 ストリング x-userBaseDN が先行していなければなりません。 BaseDN 内のコンマは %2c とレンダリングされます。
      x-uid_attr:
      (オプション) 着信ユーザー名がマップする属性を定義するストリング。一般には uid、CN、または E メール・アドレスです。 デフォルトは uid です。 ストリング x-uid_attr が先行していなければなりません。
    コマンドをバッチ (.bat) ファイルまたはコマンド (.cmd) ファイルから実行依頼する場合、LDAP URL に LDAP URL「パーセント 16 進」エスケープ文字による拡張が含まれていれば (例えば、コンマに置き換わる %2c、またはスペースに置き換わる %20)、それらのパーセント符号はさらに別のパーセント記号 (%%) を使用して、バッチ・インタープリターからエスケープする必要があります。 以下に例を示します。
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN 
    -n authentication,authenticationConfig,authorization,authorizationConfig -v
    "LDAP,¥"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub¥",
    LDAP,¥"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
    o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,
    x-uid_attr=emailaddress¥""

    選択されたグループは LDAP サーバー上で定義されていなければならず、すべての必須ユーザーは、グループのメンバーでなければなりません。

  3. 作成後にセキュリティー・プロファイルを再構成する必要がある場合は、mqsichangeproperties コマンドを使用します。 プロパティー値の変更を有効にするには、実行グループを停止して、開始する必要があります。

WebSphere Message Broker Explorer を使用したセキュリティー・プロファイルの作成

WebSphere Message Broker Explorer を使用して、LDAP 用のセキュリティー・プロファイルを作成できます。
  1. WebSphere Message Broker Explorer で、操作するブローカーを右クリックし、「プロパティー」をクリックします。
  2. 「プロパティー」ウィンドウで、「セキュリティー」タブを選択し、「セキュリティー・プロファイル」をクリックします。 「セキュリティー・プロファイル」ウィンドウが表示され、左側にブローカーに既存のセキュリティー・プロファイルのリストが、右側にはプロファイルを構成するためのペインが表示されます。
  3. 「追加」をクリックして新規プロファイルを作成し、リストに加えます。 セキュリティー・プロファイルの名前は、それをリスト内で強調表示して、F2 を押せば編集することができます。
  4. ペイン右側の入力フィールドを使用して、次のようにセキュリティー・プロファイルを構成します。
    1. 必要な「認証」のタイプを選択します。 これは LDAPTFIM、または NONE にすることができます。
    2. 「認証用の LDAP」を選択した場合、「LDAP パラメーター」セクションで以下のフィールドを編集します。
      • LDAP ホスト
      • LDAP 基本 DN
      • LDAP uid 属性
      • LDAP 検索範囲

      「LDAP パラメーター」フィールドに入力した値で構成ストリングが作成されます。これは「認証の構成」フィールドに表示されます。 パラメーターの有効な値については、mqsicreateconfigurableservice を使用したセキュリティー・プロファイルの作成を参照してください。

    3. 必要な「マッピング」のタイプを選択します。 これは TFIM または NONE のいずれかにすることができます。
    4. 「マッピング用の TFIM」を選択した場合、「TFIM パラメーター」セクションの「TFIM 構成」フィールド内に、TFIM の URL を入力します。

      「TFIM 構成」フィールドで指定される値で構成ストリングが作成されます。これは「マッピング構成」フィールドに表示されます。

    5. 必要な「権限」のタイプを選択します。 これは LDAPTFIM、または NONE にすることができます。
    6. 「許可用の LDAP」を選択した場合、「LDAP パラメーター」セクションで以下のフィールドを編集します。
      • LDAP ホスト
      • LDAP 基本 DN
      • LDAP uid 属性
      • LDAP 検索範囲
      • LDAP グループ基本 DN
      • LDAP グループ・メンバー

      「LDAP パラメーター」フィールドに入力した値で構成ストリングが作成されます。これは「権限の構成」フィールドに表示されます。 パラメーターの有効な値については、mqsicreateconfigurableservice を使用したセキュリティー・プロファイルの作成を参照してください。

    7. 「伝搬」フィールドで、ID を伝搬する必要があるかどうかを指定します。 デフォルトは False です。
    8. 空のパスワードを拒否」フィールドでは、セキュリティー・マネージャーで、空のパスワード・トークンを持つユーザー名を LDAP に渡さずに拒否するかどうかを指定します。 デフォルトは False です。 つまり、ユーザー名が空のパスワード・トークンを持つ場合でも LDAP に渡されます。
    9. 「パスワード値」フィールドで、プロパティー・フォルダーでパスワードが表示される仕方を選択します。 オプションは、以下のとおりです。
      PLAIN
      パスワードは、プロパティー・フォルダー中でプレーン・テキストとして表示されます。
      OBFUSCATE
      パスワードは、プロパティー・フォルダー中で Base64 エンコードとして表示されます。
      MASK
      パスワードは、プロパティー・フォルダー中で 4 つのアスタリスク (****) として表示されます。
  5. 「完了」をクリックして、セキュリティー・プロファイルをブローカーにデプロイします。

既存のセキュリティー・プロファイルを削除するには、リストからプロファイルを選択し、「削除」をクリックします。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:54


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ap04141_