WebSphere Application Server - Express, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

Lightweight Directory Access Protocol ユーザー・レジストリーの構成

Lightweight Directory Access Protocol (LDAP) を使用してユーザー・レジストリーにアクセスするには、有効なユーザー名 (ID) とパスワード、 レジストリー・サーバーのサーバー・ホストとポート、基本識別名 (DN)、 および必要な場合は、バインド DN とバインド・パスワードを知っている必要があります。 ユーザーは、ユーザー・レジストリー内で検索可能な、有効な任意のユーザーを選択できます。ログインするには、管理の役割があるすべてのユーザー ID を使用できます。

始める前に

一部の LDAP サーバーでは、管理ユーザーは検索できず、したがって 使用できません。この資料では、 ユーザーを、WebSphere Application Server セキュリティー・サーバー ID、サーバー ID、 またはサーバー・ユーザー ID と呼びます。 サーバー ID ユーザーは、保護された内部メソッドを呼び出す際に特別な権限を保有します。

通常、セキュリティーが使用可能の場合、管理コンソールにログインする際に 1 次管理ユーザー名が使用されます。 デフォルトでは、セキュリティーはインストール後に使用可能になります。

セキュリティーがこの製品で使用可能ある場合、 1 次管理ユーザー名およびパスワードは、製品の開始の際にレジストリーで認証されます。 認証が失敗すると、サーバーは始動しません。 期限切れでない ID とパスワード、または頻繁に変更されている ID とパスワードを選択してください。レジストリー内で製品サーバー・ユーザー ID またはパスワードを変更する必要がある場合は、 必ず、すべての製品サーバーを始動して稼働しているときに変更を行うようにしてください。 レジストリー内の変更を行う場合は、このタスクを始める前に、 スタンドアロン Lightweight Directory Access Protocol レジストリー (LDAP) の項目を参照してください。

プロシージャー

  1. 管理コンソールで、「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」の下で、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
  3. Primary administrative user name」フィールドに、有効なユーザー名を入力します。 ユーザーの完全な識別名 (DN) を入力することも、「拡張 LDAP 設定」パネルの「ユーザー・フィルター」で定義した ユーザーのショート・ネームを入力することもできます。例えば、Netscape ブラウザーのユーザー ID を入力します。この ID はセキュリティー・サーバー ID であって、WebSphere Application Server のセキュリティー のためにのみ使用され、サーバーを実行するシステム・プロセスとは関連していません。 このサーバーは、認証のためにローカル・オペレーティング・システム・レジストリーを呼び出し、 その特定のレジストリー内のネイティブなアプリケーション・プログラミング・インターフェース (API) を呼び出して ユーザーに関する特権情報を入手します。
  4. オプション: リポジトリーに保管されているサーバー ID を使用する場合は、以下を実行します。
    1. Automatically generated server identity」を選択して、アプリケーション・サーバーによる内部プロセス通信に使用されるサーバー ID の生成を可能にします。 「認証メカニズムおよび有効期限」パネルでこのサーバー ID を変更することができます。 「認証メカニズムおよび有効期限」パネルにアクセスするには、 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」> 「認証メカニズムおよび有効期限」をクリックします。 「Internal server ID」フィールドの値を変更します。
    2. あるいは、「Server identity that is stored in the repository」フィールドで内部プロセス通信に使用されるリポジトリー内のユーザー ID を指定します。
    3. または、「Server user ID or administrative user on a Version 6.0.x node」フィールドで、セキュリティーのためにアプリケーション・サーバーを実行する際に使用するユーザー ID を指定します。
  5. タイプ」リストから使用する LDAP サーバーのタイプを選択します。 LDAP サーバーのタイプによって、WebSphere Application Server で使用されるデフォルト・フィルターが決まります。 これらのデフォルト・フィルターにより「タイプ」フィールドが「カスタム」に変更されると、 カスタム・フィルターが使用されていることがわかります。これは、「拡張 LDAP 設定」パネルで 「OK」または「適用」をクリックすると、起こります。必要に応じて、リストから「カスタム」タイプを選択し、ユーザーおよびグループのフィルターが別の LDAP サーバーを使用するように変更することができます。

    IBM Tivoli Directory Server のユーザーは、ディレクトリー・タイプ として IBM Directory Server を選択することができます。 より良いパフォーマンスのために IBM Tivoli Directory Server ディレクトリー・タイプを使用します。 サポートされる LDAP サーバーのリストについては、 Supported hardware, software, and APIs Web サイトを参照してください。

    重要: IBM SecureWay Directory サーバーは、WebSphere Application Server バージョン 6.1 で IBM Tivoli Directory Server に名前を変更しました。
  6. ホスト」フィールドに、LDAP サーバーの完全修飾ホスト名を入力します。 IP アドレスまたは ドメイン・ネーム・システム (DNS) 名を入力します。
  7. ポート」フィールドに、LDAP サーバーのポート番号を入力します。 WebSphere Application Server セルでは、ホスト名とポート番号でこの LDAP サーバーのレルムを表します。 したがって、別々のセルのサーバー同士が Lightweight Third Party Authentication (LTPA) トークンを使用して相互通信を行う場合は、 すべてのセルでこれらのレルムが完全に一致しなければなりません。

    デフォルト値は 389 です。 複数の WebSphere Application Server をインストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、あるいは WebSphere Application Server と以前のバージョンの WebSphere Application Server を相互運用する場合は、すべての構成でポート番号が一致していることが重要です。 例えば、LDAP ポートをバージョン 5.x 構成で 明示的に 389 と指定し、WebSphere Application Server バージョン 6.0.x とバージョン 5.x を相互運用する場合は、 バージョン 6.0.x のサーバーでポート番号 389 が明示的に指定されていることを確認します。

  8. 基本識別名」フィールドに、基本識別名 (DN) を入力します。 基本 DN は、この LDAP ディレクトリー・サーバーの検索の開始点を表します。例えば、 ユーザーの識別名が cn=John Doe、ou=Rochester、o=IBM、c=US の場合、 基本識別名は、ou=Rochester、o=IBM、c=us または o=IBM c=us または c=us のいずれかに指定します (語尾に c=us を想定)。 許可を目的として、このフィールドではデフォルトで大/小文字の区別が行われます。ディレクトリー・サーバーの 大/小文字の字体を一致させてください。例えば、別のセルまたは Lotus Domino からトークンを受け取った場合、サーバー内の基本 DN は、 別のセルまたは Lotus Domino から受け取った基本 DN と正確に一致する必要があります。 許可の際に大/小文字の区別を考慮する必要がない場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にしてください。

    WebSphere Application Server では、識別名は Lightweight Directory Access Protocol (LDAP) 仕様に従って正規化されます。正規化とは、基本識別名のコンマおよび等号の前後にあるスペースを除去することです。 正規化されていない基本識別名の場合は、 例えば o = ibm, c = us または o=ibm, c=us のように表記されます。 正規化されている基本識別名の場合は、o=ibm,c=us のように表記されます。

    WebSphere Application Server バージョン 5 とそれ以降のバージョンを相互運用するには、 「基本識別名」フィールドに正規化された基本識別名を入力する必要があります。WebSphere Application Server バージョン 5.0.1 以降では、 正規化は実行時に自動的に行われます。

    このフィールドは、Lotus domino ディレクトリー以外のすべての LDAP ディレクトリーに必要です。「基本識別名」フィールドは、Lotus Domino Server ではオプションです。

  9. オプション: バインド識別名」フィールドにバインド識別名を入力します。 LDAP サーバー上で 匿名バインドが実行できない場合は、ユーザーおよびグループ情報を入手するのにバインド DN が必要です。 LDAP サーバーが匿名バインドを使用するようにセットアップされている場合は、このフィールドはブランクのままにしておいてください。 名前が指定されていない場合、アプリケーション・サーバーは匿名でバインドされます。識別名の例については、「基本識別名」フィールドの説明を参照してください。
  10. オプション: バインド・パスワード」フィールドにバインド DN に対応するパスワードを入力します。
  11. オプション: 「Search time out」値を変更します。 このタイムアウト値は、LDAP サーバーが製品クライアントに応答を送るまで待機する最大時間で、これを超えると要求を停止します。デフォルトは、120 秒です。
  12. 接続の再使用」オプションが選択されているか確認します。 このオプションは、サーバーが LDAP 接続を再使用することを指定します。 このオプションをクリアするのは、要求を複数の LDAP サーバーに送信するためにルーターが使用されているとき、 およびルーターが類縁性をサポートしないとき、といったごくまれな状況に限られます。 それ以外の場合はすべて、このオプションを選択状態にしておいてください。
  13. オプション: 許可検査で大/小文字を区別しない」オプションが使用可能になっていることを確認します。 このオプションを使用可能にすると、許可検査で大/小文字が区別されません。 通常、許可検査ではユーザーの完全識別名 (これは LDAP サーバー内で 固有のものであり、大/小文字が区別されます) の検査が行われます。ただし、IBM Directory Server または Sun ONE (旧 iPlanet) Directory Server LDAP サーバーのいずれかを使用する場合は、 LDAP サーバーから取得されるグループ情報の大/小文字の区別が一貫性を欠くため、このオプションを使用可能にする必要があります。 この不整合は、許可検査にのみ影響を与えます。それ以外の場合には、このフィールドはオプションであり、 許可検査で大/小文字の区別が必要な場合に使用可能にすることができます。 例えば、証明書を使用しているときに、証明書の内容の大/小文字が LDAP サーバーのエントリーと一致しない場合に、 このオプションを使用します。

    また、この製品と Lotus Domino 間でシングル・サインオン (SSO) を使用している場合は、 「許可検査で大/小文字を区別しない」オプションを使用可能にすることができます。デフォルトは使用可能です。

  14. オプション: LDAP サーバーで Secure Sockets Layer 通信を使用する場合は、 「SSL 使用可能」オプションを選択します。
    SSL 使用可能」オプションを 選択する場合は、「中央管理対象」または「特定 SSL 別名の使用」オプションを選択することができます。
    中央管理対象
    あるロケーション内のセル、ノード、サーバー、またはクラスターなどの特定の有効範囲に SSL 構成を指定できるようになります。 「中央管理対象」オプションを使用するには、エンドポイントの特定のセットに対して SSL 構成を指定する必要があります。 「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」パネルには、 SSL プロトコルを使用するすべてのインバウンドおよびアウトバウンドのエンドポイントが表示されます。 そのパネルの「インバウンド」または「アウトバウンド」セクションを展開し、ノードの名前をクリックすると、そのノード上の各エンドポイントで使用される SSL 構成を指定できます。 LDAP レジストリーの場合は、LDAP に SSL 構成を指定することにより、継承された SSL 構成をオーバーライドできます。 LDAP に SSL 構成を指定するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」とクリックします。
    2. アウトバウンド」>「cell_name」>「ノード」>「node_name」>「サーバー」>「server_name」>「LDAP」と展開します。
    特定 SSL 別名の使用
    特定 SSL 別名の使用」オプションの下のメニューにある SSL 構成のうちどれかを選択したい場合は、 このオプションを選択します。
    この構成は、LDAP で SSL が使用可能になっている場合にのみ使用されます。デフォルトは、「DefaultSSLSettings」です。 SSL 構成を変更するか、または新規作成するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
    2. 「構成設定」の下の「エンドポイント・セキュリティー構成の管理」をクリックします。
    3. セル、ノード、サーバー、またはクラスターなどの選択された有効範囲の Secure Socket Layer (SSL) configuration_name を選択します。
    4. 「関連項目」の下の「SSL 構成」をクリックします。
    5. 新規」をクリックします。
  15. 「セキュア管理、アプリケーション、およびインフラストラクチャー」パネルに戻るまで 「OK」および、「適用」または「保管」のいずれかをクリックします。

結果

このステップのセットは、LDAP ユーザー・レジストリーのセットアップに必要です。このステップは、WebSphere Application Server でセキュリティーを使用可能にするプロセスの一部として必要です。

次の作業

  1. セキュリティーを使用可能にする場合は、レルムのセキュリティーの使用可能化 で指定されるように 残りのステップを完了します。
  2. このパネルの変更内容を有効にするには、 すべての製品サーバー (デプロイメント・マネージャー、ノード、およびアプリケーション・サーバー) を保管し、 停止してから再始動します。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。



サブトピック
スタンドアロン LDAP レジストリー設定
スタンドアロン LDAP レジストリー・ウィザード設定
拡張 LDAP ユーザー・レジストリー設定
Lightweight Directory Access Protocol 検索フィルターの構成
LDAP バインディング情報の更新
特定のディレクトリー・サーバーの LDAP サーバーとしての使用
Lightweight Directory Access Protocol のユーザー・グループ・メンバーシップの検索
関連概念
ローカル・オペレーティング・システムのレジストリー
関連タスク
セキュリティーの使用可能化
レルムのセキュリティーの使用可能化
レジストリーまたはリポジトリーの選択
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 6:25:35 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/tsec_ldap.html