WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

スタンドアロン Lightweight Directory Access Protocol レジストリー

スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリーは、 LDAP バインディングを使用して認証を行います。

WebSphere Application Server セキュリティーは、 ユーザーおよびグループの情報用リポジトリーとして機能する、 主要な LDAP ディレクトリー・サーバーの実装を提供し、サポートします。 これらの LDAP サーバーは、ユーザー認証やその他のセキュリティー関連タスクの際に呼び出されます。 例えば、ユーザーまたはグループ情報を取得するために、サーバーが使用されます。 さまざまのユーザーおよびグループのフィルターを使用してユーザーおよびグループの情報を取得すると、 これらがサポートされます。 これらのフィルターは、 ユーザーの要求に合うように変更可能なデフォルト値を持っています。 カスタム LDAP フィーチャーにより、適切なフィルターを使用すれば、製品がサポートする LDAP サーバーのリストにはない、 他の任意の LDAP サーバーをユーザー・レジストリーとして使用できます。

LDAP をユーザー・レジストリーとして使用するには、 レジストリーで定義されている管理ユーザー名、 サーバー・ホストおよびポート、基本識別名 (DN) と、 必要な場合、バインド DN とバインドのパスワードを把握しておく必要があります。 レジストリー内で検索可能で管理特権を持つ、有効な任意のユーザーを選択できます。 一部の LDAP サーバーでは、 例えば SecureWay の cn=root など、管理ユーザーは検索不可で使用できないことがあります。 この資料では、 このユーザーを、WebSphere Application Server セキュリティー・サーバー ID、サーバー ID、 またはサーバー・ユーザー ID と呼びます。 ユーザーがサーバー ID であるということは、 保護された内部メソッドを呼び出す際に特別な権限があるということです。 通常、この ID およびパスワードは、セキュリティーをオンにした後に管理コンソールにログインする際に使用されます。 別のユーザーでも、そのユーザーに管理役割があれば、ログインに使用することができます。

セキュリティーがこの製品で使用可能ある場合、 1 次管理ユーザー名およびパスワードは、製品の開始の際にレジストリーで認証されます。 認証が失敗すると、サーバーは始動しません。 期限切れでない ID とパスワード、または頻繁に変更されている ID とパスワードを選択してください。レジストリー内で製品サーバー・ユーザー ID またはパスワードを変更する必要がある場合は、 必ず、すべての製品サーバーを始動して稼働しているときに変更を行うようにしてください。

レジストリー内で変更を完了したら、 Lightweight Directory Access Protocol ユーザー・レジストリーの構成 で説明しているステップに従ってください。 ID、パスワード、およびその他の構成情報を変更して保管し、 新規の ID またはパスワードが製品で使用されるように、 すべてのサーバーを停止して再始動します。 セキュリティーが使用可能であるときに、製品の始動に何か問題が発生した場合は、 サーバーを始動できるようにするためにセキュリティーを使用不可にしてください。 これらの問題を避けるため、このパネルで行った 変更内容を「管理、アプリケーション、インフラストラクチャーの保護」パネルで必ず検証するようにしてください。 サーバーが始動したら、ID、パスワード、およびその他の構成情報を変更し、 その後にセキュリティーを使用可能にすることができます。

カスタム Lightweight Directory Access Protocol (LDAP) フィーチャーを使用すると、正しい構成をセットアップすることによって、 任意の LDAP サーバーをサポートできます。 ただし、これらのカスタム LDAP サーバーはサポートの対象にはなりません。多種の構成が考えられるためです。

ユーザーおよびグループ、さらにセキュリティー役割マッピングの情報は、アクセス制御の決定のため、構成済み許可エンジンにより使用されます。

LDAP レジストリーをアクティブ・レジストリーとして構成する場合は、以下のいずれかの許可メカニズムを構成できます。
すべてのユーザー・レジストリーに対する許可メカニズムとして、 SAF 許可 (SAF EJBROLE プロファイルを使用した SAF ユーザーおよびグループへの役割の割り当て) を使用できます。SAF 許可が管理コンソールで選択された場合は、以下のようになります。



サブトピック
動的グループとネストされたグループのサポート
複数の LDAP サーバー間のセキュリティー・フェイルオーバー
関連概念
ユーザー・レジストリーおよびリポジトリー
関連タスク
特定のディレクトリー・サーバーの LDAP サーバーとしての使用
Lightweight Directory Access Protocol ユーザー・レジストリーの構成
関連資料
スタンドアロン LDAP レジストリー設定
セキュリティー: 学習用リソース
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/csec_ldap.html