WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

z/OS ベースの Resource Access Control Facility (RACF) を使用して Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーをセキュアにする構成

アプリケーション・サーバーは、既存の Resource Access Control Facility (RACF) バックエンドを使用して z/OS に Lightweight Access Directory Protocol (LDAP) を構成することでセキュアにすることができます。 この場合、RACF に定義されたネイティブ z/OS セキュリティー設定は、 WebSphere Application Server のセキュリティー環境と統合されます。

始める前に

ここでの手順を実施するには、次のような条件があります。
  • z/OS ベースの RACF を使用して構成された LDAP サーバーがあること。この構成について詳しくは、z/OS Internet Library を参照してください。
  • LDAP は z/OS v1r3 以上で使用してください。v1r3 または v1r4 では、 APAR 0A03857 - PTF UA06622 を適用してから以下のステップに進んでください。
  • ユーザーは、RACF ユーザー ID で WebSphere セキュリティーにログインし、 パスワードと識別名 (バインド DN) を使用する LDAP によって認証されます。バインド DN は、 RACF ユーザー ID と SDBM サフィックスを LDAP サーバー構成ファイルに 取り込みます。RACF ユーザーが johndoe で、LDAP 構成ファイルの SDBM セクションのサフィックス値が cn=myRACF であるとすると、 バインド DN は racfid=johndoe, profiletype=user, cn=myRACF になります。
  • ユーザーが所属する各 RACF グループは、WebSphere セキュリティー・グループも含め、 ユーザーの LDAP 項目にある多値の racfconnectgroupname 属性に 保管されます。この属性は、ユーザーの DN を基本 DN として基本検索または サブツリー検索を実行すると戻されます。
  • バインド DN は、Special または Auditor 特権を持つ RACF ユーザーを表す必要があります。 必要な RACF 権限について詳しくは、z/OS Internet Library で、ご使用の z/OS バージョンの「z/OS Security Server RACF Command Language Reference」を参照してください。
  • LDAP デフォルト・スキーマで racfconnectgroupname 属性を定義する 必要があります。
    要確認: LDAP サーバー構成ファイルで、 SDBM だけでなく TBDM も定義済みである場合は、TDBM のスキーマが LDAP サーバーの デフォルト・スキーマになります。TDBM スキーマに racfconnectgroupname 属性が組み込まれていない場合は、 LDAP サーバー構成ファイルから TDBM を除去するか、schema.user.ldif ファイルおよび schema.IBM.ldif ファイルのスキーマを TDBM スキーマに追加します。TDBM と SDBM について 詳しくは、Native authentication with RACF and Tivoli Access Manager を参照してください。

プロシージャー

  1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」の下で、「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
  3. 「LDAP サーバーのタイプ」の下で、「カスタム」をクリックします。
  4. LDAP 環境向けのフィールドをすべて埋めます。詳しくは、Lightweight Directory Access Protocol ユーザー・レジストリーの構成 を参照してください。 ユーザーとグループは基本 DN のサブツリーに入っていなければなりません。
  5. 許可検査で大/小文字を区別しない」が選択されていることを確認します。 RACF のユーザー名とグループ名では、大文字小文字の区別がありません。
  6. 適用」をクリックしてから、「保管」をクリックします。
  7. 「追加プロパティー」の下で、「拡張 LDAP ユーザー・レジストリー設定」をクリックします。
  8. ユーザー・フィルターとグループ・フィルターを racfid=%v に変更します。
  9. ユーザー ID マップとグループ ID マップを *:racfid. に変更します。
  10. グループ・メンバー ID マップを racfconnectgroupname:racfgroupuserids に変更します。
  11. 適用」をクリックして、「保管」をクリックします。
  12. 管理の役割をユーザーに割り当てます。 詳しくは、管理の役割へのアクセスの許可 を参照してください。
  13. WebSphere Application Server を再始動します。

結果

以上で、ご使用の環境は、RACF バックエンドを使用して z/OS の LDAP によって保護されます。



関連概念
ローカル・オペレーティング・システムのレジストリー
関連タスク
Lightweight Directory Access Protocol ユーザー・レジストリーの構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_config_racf.html