WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

フェデレーテッド・リポジトリー構成における Lightweight Directory Access Protocol の構成

フェデレーテッド・リポジトリー構成で Lightweight Directory Access Protocol (LDAP) 設定を構成するには、このトピックに従います。

始める前に

様々な方法から LDAP の構成を選択してきました。

このタスクについて

この時点で、管理コンソールの LDAP リポジトリー構成ページが表示されています。

プロシージャー

  1. 「リポジトリー ID」フィールドに、リポジトリーの固有 ID を入力します。 この ID はセル内のリポジトリー (LDAP1 など) を一意に識別します。
  2. ディレクトリー・タイプ・リストから、使用する LDAP サーバーを選択します。 LDAP サーバーのタイプによって、WebSphere Application Server で使用されるデフォルト・フィルターが決まります。

    IBM Tivoli Directory Server のユーザーは、ディレクトリー・タイプ として IBM_Directory_Server または SecureWay を選択することができます。 より良いパフォーマンスのために IBM Tivoli Directory Server ディレクトリー・タイプを使用します。サポートされる LDAP サーバーのリストについては、 特定のディレクトリー・サーバーの LDAP サーバーとしての使用 を参照してください。

  3. 「Primary host name」フィールドに、プライマリー LDAP サーバーの 完全修飾ホスト名を入力します。 IP アドレスまたは ドメイン・ネーム・システム (DNS) 名を入力します。
  4. 「ポート」フィールドに LDAP ディレクトリーのサーバー・ポートを入力します。 混合バージョン・ノード・セルでは、ホスト名とポート番号でこの LDAP サーバー のレルムを表します。別々のセルのサーバー同士が Lightweight Third Party Authentication (LTPA) トークンを使用して相互通信を行う場合は、すべてのセルでこれらのレルムが完全に 一致しなければなりません。

    デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。

    複数の WebSphere Application Server をインストールして、 同一のシングル・サインオンのドメインで実行するように構成する場合、 あるいは WebSphere Application Server を以前のバージョンの WebSphere Application Server と相互運用する場合は、すべての構成でポート番号が一致していることが重要です。例えば、LDAP ポートをバージョン 5.x または 6.0.x 構成で 明示的に 389 と指定し、WebSphere Application Server バージョン 6.1 とバージョン 5.x または 6.0.x のサーバー を相互運用する場合は、バージョン 6.1 のサーバーでポート番号 389 が明示的に指定されていることを確認します。

  5. オプション: 「Failover host name」フィールドに、 フェイルオーバー LDAP サーバーのホスト名を入力します。 プライマリー・ディレクトリー・サーバーが使用不可になった際に使用する、 セカンダリー・ディレクトリー・サーバーを指定できます。セカンダリー・ディレクトリー・サーバー への切り替えが終わると、LDAP リポジトリーは、15 分ごとにプライマリー・ディレクトリー・サーバー への再接続を試みます。
  6. オプション: 「ポート」フィールドにフェイルオーバー LDAP サーバーのポートを入力し、「追加」をクリックします。 デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。
  7. オプション: referral のタイプを選択します。 参照は、クライアント要求を別の LDAP サーバーに転送するときに 使用されるエンティティーです。参照には、他のオブジェクトの名前と位置が入っています。 参照は、クライアントが要求した情報が、別のロケーション (おそらく、別のサーバーまたは複数のサーバー) にあることを示すために、サーバーによって送信されます。 デフォルト値は ignore です。
    ignore
    参照は無視されます。
    follow
    参照は自動的に行われます。
  8. オプション: 「バインド識別名」フィールドに、cn=root などの バインド識別名を入力します。 バインド DN が必要なのは、 LDAP サーバー上で匿名バインドを実行してユーザーおよびグループ情報を入手できない場合か、 書き込み操作の場合です。ほとんどの場合で、バインド DN およびバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。 LDAP サーバーが匿名バインドを使用するようにセットアップされている場合は、このフィールドはブランクのままにしておいてください。 名前が指定されていない場合、アプリケーション・サーバーは匿名でバインドされます。
  9. オプション: 「バインド・パスワード」フィールドに、 バインド DN に対応するパスワードを入力します。
  10. オプション: 「Login properties」フィールドに、 WebSphere Application Server へのログインに使用するプロパティー名を入力します。 このフィールドには、セミコロン (;) で区切られた複数のログイン・プロパティーが入ります。 例えば、uid;mail のようになります。

    ログインの際に、 すべてのログイン・プロパティーが検索されます。複数のエントリーが検出された場合、またはエントリーが検出されない場合は、 例外がスローされます。例えば、 ログイン・プロパティーを uid;mail、ログイン ID を Bob と指定すると、 検索フィルターは uid=Bob または mail=Bob を検索します。検索で単一のエントリーが 戻される場合は、認証は先に進みます。そうでない場合は、例外がスローされます。

  11. オプション: 「証明書マッピング」フィールドで証明書マップ・モードを選択します。 リポジトリーとして LDAP が選択されている場合は、X.590 証明書をユーザー認証に使用できます。「証明書マッピング」フィールドは、X.509 証明書を EXACT_DN または CERTIFICATE_FILTER によって LDAP ディレクトリー・ユーザーにマップするかどうかを示すために使用されます。 EXACT_DN を選択する場合には、証明書の DN は、大/小文字やスペースも含めて LDAP サーバー内のユーザー・エントリーと完全に一致しなければなりません。
  12. 「証明書マッピング」フィールドで「CERTIFICATE_FILTER」を選択した場合は、クライアント証明書のマッピング属性を LDAP 内のエントリーにマップするときに使用する LDAP フィルターを指定します。

    実行時に複数の LDAP エントリーがフィルターの指定に一致すると、結果があいまい一致となるので認証は失敗します。 このフィルターの構文または構造は以下のとおりです。

    LDAP attribute=${Client certificate attribute}

    例えば、uid=${SubjectCN} のようにします。

    フィルター仕様の左辺は LDAP 属性で、これは LDAP サーバーが構成時に使用するスキーマにより異なります。 フィルター仕様の右辺は、クライアント証明書にあるパブリック属性の 1 つです。 右辺は、ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。 フィルター仕様の右辺には、以下の証明書属性値を使用できます。ストリングの大/小文字の区別は重要です
    • ${UniqueKey}
    • ${PublicKey}
    • ${PublicKey}
    • ${Issuer}
    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${SubjectCN}
    • ${Version}
  13. オプション: LDAP サーバーで Secure Sockets Layer 通信を使用する場合は、 「Require SSL communications」オプションを選択します。
    Require SSL communications」オプションを選択する場合は、 「中央管理対象」または「特定 SSL 別名の使用」オプションを選択することができます。
    中央管理対象
    1 つのロケーションのセル、ノード、サーバー、またはクラスターなどの 特定の有効範囲に、SSL 構成を指定できます。「中央管理対象」オプションを使用するには、 特定セットのエンドポイントに SSL 構成を指定する必要があります。「エンドポイント・セキュリティー構成の管理 and trust zones」パネルには、SSL プロトコルを使用するすべてのインバウンド およびアウトバウンド・エンドポイントが表示されます。パネルの「インバウンド」または 「アウトバウンド」セクションを展開し、ノードの名前をクリックする場合は、 そのノード上のすべてのエンドポイントに使用される SSL 構成を指定できます。LDAP レジストリー の場合、LDAP の SSL 構成を指定することによって、継承された SSL 構成をオーバーライドできます。 LDAP で SSL 構成を指定するには、次のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」> 「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」とクリックします。
    2. Outbound」>「cell_name」>「ノード」>「node_name」> 「サーバー」>「server_name」>「LDAP」と展開します。
    特定 SSL 別名の使用
    特定 SSL 別名の使用」オプションの下のメニューにある SSL 構成の うちどれかを選択したい場合は、このオプションを選択します。
    この構成は、LDAP で SSL が使用可能になっている場合にのみ使用されます。デフォルトは、「DefaultSSLSettings」です。 SSL 構成を変更するか、または新規作成するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
    2. 「構成設定」の下の「エンドポイント・セキュリティー構成の管理 and trust zones」>「configuration_name」とクリックします。
    3. 「関連項目」の下の「SSL 構成」をクリックします。
  14. OK」をクリックします。

結果

以上のステップが完了すると、LDAP リポジトリー設定が構成されます。

次の作業




サブトピック
Lightweight Directory Access Protocol リポジトリーの構成設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/twim_ldap_settings.html