ここでは、WebSphere Application Server の Lightweight Directory Access Protocol (LDAP) サーバーとしてサポートされるディレクトリー・サーバーに関する重要な情報が記載されています。
サポートされる LDAP サーバーのリストについては、 Supported hardware and software Web site を参照してください。
その他の LDAP サーバーが LDAP 仕様に従うことが予想されます。 サポートの対象となるのは、 これらの特定のディレクトリー・サーバーのみに限定されます。 他のディレクトリー・サーバーを使用するには、リストでカスタム・ディレクトリー・タイプを選択し、 そのディレクトリーに必要なフィルターを入力します。
LDAP 検索のパフォーマンスを向上させるため、 IBM Tivoli Directory Server、Sun ONE、および Active Directory のデフォルト・フィルターは、 ユーザーを検索するときに、そのユーザーに関するすべての関連情報 (ユーザー ID、グループなど) が 検索結果に含まれるように定義されています。 結果として、製品は LDAP サーバーを複数回呼び出しません。この定義は、上記のディレクトリー・タイプの場合に限られ ます。これらのサポートでは、ユーザーに関する完全な情報が入手できる場所を検索するためです。
IBM Directory Server を使用する場合には、「許可検査で大/小文字を区別しない」オ プションを選択します。 このオプションが必要なのは、グループ情報がユーザー・オブジェクト属性から得られる場合、グループ情報を直接入手した場合とは 大/小文字の使い分けが異なるためです。このような場合に許可を機能させるためには、 大文字小文字を区別しないで許可検査を行い、 「許可検査で大/小文字を区別しない」 オプションの要件を確認します。
DB2 Technical Database Management (TDBM) のバックエンドが使用される場合は、 LDAP Security Server for the z/OS プラットフォームがサポートされます。LDAP Security Server for the z/OS に接続するためには、SecureWay Directory Server フィルターを使用してください。
IBM Directory Server には、IBM Tivoli Directory Server か SecureWay のいずれかのディレクトリー・タイプを選択できます。
これらの 2 つのタイプでは、グループ・メンバーシップの検索方法が異なります。 実行時に最適なパフォーマンスを実現するには、IBM Tivoli Directory Server の選択をお勧めします。IBM Tivoli Directory Server では、グループ・メンバーシップは運用属性です。この属性では、グループ・メンバーシップの検索は、 エントリーの ibm-allGroups 属性を列挙して行われます。すべてのグループ・メンバーシップ (静的グループ、動的グループ、およびネストされたグループを含む) を、ibm-allGroups 属性を使用して戻すことができます。
WebSphere Application Server は、ibm-allGroups 属性を使用して、 IBM Tivoli Directory Server で動的グループ、ネストされたグループ、および静的グループをサポートします。 セキュリティー許可を行うアプリケーションでこの 属性を利用するには、ibm-allGroups が戻す属性値がすべて大文字となるように、大/小文字を区別しない突き合わせを 使用します。
IBM Tivoli Directory Server バージョン 6.0 と WebSphere Application Server バージョン 6.1 を同じマシンにインストールする必要がある場合は、 次の情報を参考にしてください。
User ID Map : person:shortname
WebSphere Application Server での認証用の LDAP サーバーとして Microsoft Active Directory を使用する には、特定のステップを実行する必要があります。デフォルトでは、Microsoft Active Directory で匿名の LDAP 照会を実行できません。 LDAP 照会を作成したりディレクトリーを参照したりするためには、 LDAP クライアントは、Application Server で必要な LDAP 属性の値 (ユーザー情報、 グループ情報など) を検索して読み取る権限のあるアカウントの識別名 (DN) を 使用して、LDAP サーバーにバインドしなければなりません。 Active Directory の場合、グループ・メンバーシップの検索は、各グループのメンバー・リストを参照して行われるのではなく、所定のユーザー・エントリーの memberof 属性を列挙して行われます。 このデフォルトの動作を変更して各グループを参照するには、「グループ・メンバー ID マップ」フィールドを memberof:member から group:member に変更します。
以下のステップでは、Microsoft Active Directory を LDAP サーバーとしてセットアップする方法について説明します。