Lightweight Directory Access Protocol (LDAP) を使用してユーザー・レジストリーにアクセスするには、有効なユーザー名 (ID) とパスワード、
レジストリー・サーバーのサーバー・ホストとポート、基本識別名 (DN)、
および必要な場合は、バインド DN とバインド・パスワードを知っている必要があります。
ユーザーは、ユーザー・レジストリー内で検索可能な、有効な任意のユーザーを選択できます。ログインするには、管理の役割があるすべてのユーザー ID を使用できます。
始める前に
一部の LDAP サーバーでは、管理ユーザーは検索できず、したがって
使用できません。この資料では、
ユーザーを、WebSphere Application Server セキュリティー・サーバー ID、サーバー ID、
またはサーバー・ユーザー ID と呼びます。
サーバー ID ユーザーは、保護された内部メソッドを呼び出す際に特別な権限を保有します。
通常、サーバー ID およびパスワードは、セキュリティーをオンにした後に管理コンソールにログインする際に使用されます。
セキュリティーがこの製品で使用可能ある場合、
1 次管理ユーザー名およびパスワードは、製品の開始の際にレジストリーで認証されます。
認証が失敗すると、サーバーは始動しません。
期限切れでない ID とパスワード、または頻繁に変更されている ID とパスワードを選択してください。レジストリー内で製品サーバー・ユーザー ID またはパスワードを変更する必要がある場合は、
必ず、すべての製品サーバーを始動して稼働しているときに変更を行うようにしてください。
レジストリー内の変更を行う場合は、このタスクを始める前に、
Lightweight Directory Access Protocol ユーザー・レジストリー
(LDAP) の項目を参照してください。
プロシージャー
- 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「ユーザー・レジストリー」の下の「LDAP」をクリックします。
- 「サーバー・ユーザー ID」フィールドに、有効なユーザー名を入力します。 ユーザーの完全な識別名 (DN) を入力することも、「拡張 LDAP 設定」パネルの「ユーザー・フィルター」で定義した
ユーザーのショート・ネームを入力することもできます。例えば、Netscape ブラウザーのユーザー ID を入力します。この ID はセキュリティー・サーバー ID であって、WebSphere Application Server のセキュリティー
のためにのみ使用され、サーバーを実行するシステム・プロセスとは関連していません。
このサーバーは、認証のためにローカル OS レジストリーを呼び出し、その特定のレジストリー内のネイティブな
アプリケーション・プログラミング・インターフェース (API) を呼び出してユーザーに関する特権情報を入手します。
- 「サーバー・ユーザー・パスワード」フィールドに、ユーザーのパスワードを入力します。
- 「タイプ」リストから使用する LDAP サーバーのタイプを選択します。
LDAP サーバーのタイプによって、WebSphere Application Server で使用されるデフォルト・フィルターが決まります。
これらのデフォルト・フィルターにより「タイプ」フィールドが「カスタム」に変更されると、
カスタム・フィルターが使用されていることがわかります。これは、「拡張 LDAP 設定」パネルで
「OK」または「適用」をクリックすると、起こります。必要に応じて、リストから「カスタム」タイプを選択し、ユーザーおよびグループのフィルターが別の LDAP サーバーを使用するように変更することができます。
IBM Tivoli Directory Server のユーザーは、ディレクトリー・タイプ
として IBM Directory Server を選択することができます。
より良いパフォーマンスのために
IBM Tivoli Directory Server ディレクトリー・タイプを使用します。
サポートされる LDAP サーバーのリストについては、
Supported hardware, software, and APIs Web サイトを参照してください。
- 「ホスト」フィールドに、LDAP サーバーの完全修飾ホスト名を入力します。
IP アドレスまたは ドメイン・ネーム・システム (DNS) 名を入力します。
- 「ポート」フィールドに、LDAP サーバーのポート番号を入力します。
WebSphere Application Server セルでは、ホスト名とポート番号でこの LDAP サーバーのレルムを表します。
したがって、別々のセルのサーバー同士が Lightweight Third Party Authentication (LTPA) トークンを使用して相互通信を行う場合は、
すべてのセルでこれらのレルムが完全に一致しなければなりません。
デフォルト値は 389 です。
複数の WebSphere Application Server
をインストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、あるいは
WebSphere Application Server と以前のバージョンの WebSphere Application Server を相互運用する場合は、すべての構成でポート番号が一致していることが重要です。
例えば、LDAP ポートをバージョン 5.x 構成で
明示的に 389 と指定し、WebSphere Application Server バージョン 6.0.x とバージョン 5.x を相互運用する場合は、
バージョン 6.0.x のサーバーでポート番号 389 が明示的に指定されていることを確認します。
- 「基本識別名」フィールドに、基本識別名 (DN) を入力します。
基本 DN は、この LDAP ディレクトリー・サーバーの検索の開始点を表します。例えば、
ユーザーの識別名が cn=John Doe、ou=Rochester、o=IBM、c=US の場合、
基本識別名は、ou=Rochester、o=IBM、c=us または o=IBM c=us または c=us のいずれかに指定します (語尾に c=us を想定)。
許可を目的として、このフィールドではデフォルトで大/小文字の区別が行われます。ディレクトリー・サーバーの
大/小文字の字体を一致させてください。例えば、別のセルまたは Lotus Domino からトークンを受け取った場合、サーバー内の基本 DN は、
別のセルまたは Lotus Domino から受け取った基本 DN と正確に一致する必要があります。
許可の際に大/小文字の区別を考慮する必要がない場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にしてください。
WebSphere Application Server
では、識別名は Lightweight Directory Access Protocol (LDAP) 仕様に従って正規化されます。正規化とは、基本識別名のコンマおよび等号の前後にあるスペースを除去することです。
正規化されていない基本識別名の場合は、
例えば o = ibm, c = us または o=ibm, c=us のように表記されます。
正規化されている基本識別名の場合は、o=ibm,c=us のように表記されます。
WebSphere Application Server バージョン 5 とそれ以降のバージョンを相互運用するには、
「基本識別名」フィールドに正規化された基本識別名を入力する必要があります。WebSphere Application Server バージョン 5.0.1 以降では、
正規化は実行時に自動的に行われます。
このフィールドは、Lotus domino ディレクトリー以外のすべての LDAP ディレクトリーに必要です。「基本識別名」フィールドは、Lotus Domino Server ではオプションです。
- オプション: 「バインド識別名」フィールドにバインド識別名を入力します。 LDAP サーバー上で
匿名バインドが実行できない場合は、ユーザーおよびグループ情報を入手するのにバインド DN が必要です。
LDAP サーバーが匿名バインドを使用するようにセットアップされている場合は、このフィールドはブランクのままにしておいてください。
名前が指定されていない場合、アプリケーション・サーバーは匿名でバインドされます。識別名の例については、「基本識別名」フィールドの説明を参照してください。
- オプション: 「バインド・パスワード」フィールドにバインド DN に対応するパスワードを入力します。
- オプション: 「Search time out」値を変更します。 このタイムアウト値は、LDAP サーバーが製品クライアントに応答を送るまで待機する最大時間で、これを超えると要求を停止します。デフォルトは、120 秒です。
- 「接続の再使用」オプションが選択されているか確認します。
このオプションは、サーバーが LDAP 接続を再使用することを指定します。
このオプションをクリアするのは、要求を複数の LDAP サーバーに送信するためにルーターが使用されているとき、
およびルーターが類縁性をサポートしないとき、といったごくまれな状況に限られます。
それ以外の場合はすべて、このオプションを選択状態にしておいてください。
- オプション: 「許可検査で大/小文字を区別しない」オプションが使用可能になっていることを確認します。
このオプションを使用可能にすると、許可検査で大/小文字が区別されません。
通常、許可検査ではユーザーの完全識別名 (これは LDAP サーバー内で
固有のものであり、大/小文字が区別されます) の検査が行われます。ただし、IBM Directory Server または Sun ONE (旧 iPlanet) Directory Server LDAP サーバーのいずれかを使用する場合は、
LDAP サーバーから取得されるグループ情報の大/小文字の区別が一貫性を欠くため、このオプションを使用可能にする必要があります。
この不整合は、許可検査にのみ影響を与えます。それ以外の場合には、このフィールドはオプションであり、
許可検査で大/小文字の区別が必要な場合に使用可能にすることができます。
例えば、証明書を使用しているときに、証明書の内容の大/小文字が LDAP サーバーのエントリーと一致しない場合に、
このオプションを使用します。
また、この製品と Lotus Domino 間でシングル・サインオン (SSO) を使用している場合は、
「許可検査で大/小文字を区別しない」オプションを使用可能にすることができます。デフォルトは使用可能です。
- オプション: LDAP サーバーで Secure Sockets Layer 通信を使用する場合は、
「SSL 使用可能」オプションを選択します。
「SSL 使用可能」オプションを選択する場合は、「SSL 構成」フィールドのリストから、
該当する SSL エイリアス構成を選択します。LDAP を SSL 用にセットアップすることについて詳しくは、Lightweight Directory Access Protocol クライアントのための Secure Sockets Layer の構成
を参照してください。
- オプション: 「SSL 構成」フィールドで、Secure Sockets Layer 構成を選択して
LDAP 接続に使用します。
この構成は、LDAP で SSL が使用可能になっている場合にのみ使用されます。デフォルトは、「DefaultSSLSettings」です。
新規の SSL 構成を変更または作成する場合は、「セキュリティー」>「SSL」とクリックします。
- 「OK」をクリックします。 ユーザーおよびパスワードの検証とセットアップは、このパネルでは行いません。検証が行われるのは、「グローバル・セキュリティー」パネルで「OK」または「適用」をクリックしたときに限られます。
- セキュリティーを初めて使用可能にする場合は、残りのステップを完了して「
グローバル・セキュリティー」パネルに移動します。アクティブ・ユーザー・レジストリー
として「LDAP」を選択します。
- セキュリティーは既に使用可能になっているが、このパネルの情報が変更されている
場合は、その変更を有効にするために、必ず「グローバル・セキュリティー」パネルに移動して、「
OK」または「適用」をクリックしてください。変更が有効になっていないと、サーバーは始動しません。
結果
このステップのセットは、LDAP ユーザー・レジストリーのセットアップに必要です。このステップは、WebSphere Application Server でセキュリティーを使用可能にするプロセスの一部として必要です。
次の作業
- セキュリティーを使用可能にする場合は、レルムのセキュリティーの使用可能化
で指定されるように
残りのステップを完了します。
- このパネルの変更内容を有効にするには、
すべての製品サーバー (デプロイメント・マネージャー、ノード、およびアプリケーション・サーバー) を保管し、
停止してから再始動します。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。