スタンドアロン LDAP レジストリー設定

ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリーに 置かれている場合に、このページを使用して LDAP 設定を構成します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。

セキュリティーが使用可能になっていて、これらのプロパティーのいずれかを変更した場合は、 「グローバル・セキュリティー」パネルに移動し、「適用」をクリックして変更を有効にします。

WebSphere® Application Server バージョン 7.0 では、 環境を管理する管理者のユーザー ID とサーバー間通信を認証するためのサーバー ID を区別します。ほとんどの場合、 サーバー ID は自動的に生成され、リポジトリーに保管されません。

[AIX Solaris HP-UX Linux Windows]ただし、 以前のバージョンのノードを最新バージョンのセルに追加していて、 以前のバージョンのノードがサーバー ID とパスワードを使用していた場合には、 必ず、以前のバージョンのサーバー ID とパスワードをこのセルのリポジトリーに定義するようにしてください。サーバーのユーザー ID およびパスワードをこのパネルで入力してください。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): System Authorization Facility (SAF) に関連する設定がこのパネルに表示されないことがあります。 これらの設定を変更するには、以下のようにします。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」 > 「外部許可プロバイダー」とクリックして、SAF 用のパネルに移動します。
  2. 「許可プロバイダー」オプションの下のドロップダウン・リストから「System Authorization Facility (SAF)」を選択します。
  3. 「構成」をクリックします。
gotcha
注: 初期のプロファイル作成では、WebSphere Application Server がファイル・ベースのレジストリーで統合リポジトリーのセキュリティー・レジストリー・オプションを使用するように構成します。 このセキュリティー・レジストリー構成は、スタンドアロン LDAP レジストリーを含め他のオプションを使用するよう変更できます。ユーザー・アカウント・リポジトリー構成で統合リポジトリー・オプションからスタンドアロン LDAP レジストリー・オプションに変更する代わりに、LDAP 構成を備えた統合リポジトリー・オプションを利用することを検討してください。 統合リポジトリーには、広範囲の機能 (1 つ以上のユーザー・レジストリーを保持する機能など) が用意されています。 ファイル・ベースのレジストリーおよびカスタム・レジストリーに加えて、1 つ以上の LDAP の統合がサポートされます。 さらに、改善されたフェイルオーバー機能や、堅固な一連のメンバー (ユーザーおよびグループ) 管理機能もあります。 WebSphere Portal 6.1 以降、および Process Server 6.1 以降の新しいメンバー管理機能を使用する場合は、統合リポジトリーが必要です。 LDAP 参照の追跡には、統合リポジトリーを使用する必要があります。LDAP 参照の追跡は、いくつかの LDAP サーバー環境 (Microsoft Active Directory など) では一般的な要件です。

スタンドアロン LDAP レジストリーから統合リポジトリーにマイグレーションすることをお勧めします。WebSphere Portal 6.1 以降、またはWebSphere Process Server 6.1 以降に移行する場合、それらのアップグレードを行う前に、統合リポジトリーにマイグレーションする必要があります。 統合リポジトリーとその機能について詳しくは、『統合リポジトリー』トピックを参照してください。 統合リポジトリーへのマイグレーション方法について詳しくは、『スタンドアロン LDAP リポジトリーを統合リポジトリーの LDAP リポジトリー構成にマイグレーションする』トピックを参照してください。

1 次管理ユーザー名

ご使用のユーザー・レジストリーで定義される、管理特権を持ったユーザーの名前を指定します。

管理セキュリティーが使用可能である場合は、ユーザー名が管理コンソールへのログオンに使用されます。 バージョン 6.1 以降では、管理アクションの監査を可能にするために、サーバーのユーザー ID とは異なる管理ユーザーが必要です。
重要: WebSphere Application Server バージョン 6.x では、管理アクセスおよび内部プロセス通信の両方に対して単一のユーザー ID が必要です。 バージョン 8.x にマイグレーションする場合、この ID はサーバーのユーザー ID として使用されます。 管理ユーザー ID には、別のユーザーを指定する必要があります。
[z/OS]注: ユーザー・レジストリーとして LDAP を構成していて、SAF が使用可能になっている場合に、プロパティー com.ibm.security.SAF.authorizationtrue に設定すると、「基本管理ユーザー名」フィールドが管理コンソールに表示されません。

自動的に生成されたサーバー ID

アプリケーション・サーバーを使用可能にして、サーバー ID を生成します。 この方法は、バージョン 6.1 以降のノードのみを含む環境の場合にお勧めします。 自動的に生成されたサーバー ID は、ユーザー・リポジトリーには保管されません。

通知
デフォルト: 使用可能
[AIX Solaris HP-UX Linux Windows][IBM i]

リポジトリーに保管されたサーバー ID

内部プロセス通信に使用されるリポジトリー内のユーザー ID を指定します。バージョン 6.1 以降のノードを含むセルでは、 アクティブ・ユーザー・リポジトリーで定義される、サーバー・ユーザー ID が必要になります。

通知
デフォルト: 使用可能
[AIX Solaris HP-UX Linux Windows]

バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー

セキュリティー上の目的でアプリケーション・サーバーの実行に使用されるユーザー ID を指定します。

[AIX Solaris HP-UX Linux Windows]

Password

サーバー ID に対応するパスワードを指定します。

LDAP サーバーのタイプ

接続する LDAP サーバーのタイプを指定します。

[AIX Solaris HP-UX Linux Windows][IBM i]IBM® SecureWay Directory Server はサポートされません。

[z/OS]IBM SecureWay Directory Server は、 Application Server for z/OS® および多くの LDAP サーバーでもサポートされています。

ホスト

LDAP サーバーのホスト ID (IP アドレスまたはドメイン・ネーム・サービス (DNS) 名) を指定します。

Port

LDAP サーバーのホスト・ポートを指定します。

複数のアプリケーション・サーバーをインストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、またはアプリケーション・サーバーを以前のバージョンと相互運用する場合は、すべての構成でポート番号が一致していることが重要です。例えば、バージョン 6.1 以降の構成で LDAP ポートを明示的に 389 と指定している場合、バージョン 8.x の WebSphere Application Server をバージョン 6.1 以降のサーバーと相互運用する場合には、バージョン 8.x のサーバーでポート 389 が明示的に指定されていることを確認してください。
通知
デフォルト: 389
タイプ: 整数

基本識別名 (DN)

ディレクトリー・サービスの基本識別名 (DN) を指定します。 これは、ディレクトリー・サービスの LDAP 検索の開始点を表します。 ほとんどの場合、バインド DN とバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。

例えば、ユーザーの識別名が cn=John Doeou=Rochestero=IBMc=US の場合、 基本識別名は、ou=Rochestero=IBMc=US または o=IBM c=US または c=US のいずれかに指定します。許可を目的として、このフィールドでは大/小文字の区別が行われます。 例えば、別のセルまたは Lotus® Domino からトークンを受け取った場合、サーバー内の基本 DN は、別のセルまたは Lotus Domino サーバーから受け取った基本 DN と正確に一致する必要があるということを、 この指定は暗黙指定します。許可の際に大/小文字の区別を考慮する必要がない場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にしてください。 このオプションは、Lotus Domino® Directory、IBM Tivoli® Directory Server V6.0、および Novell eDirectory の場合 (この場合、このフィールドはオプション) を除き、すべての Lightweight Directory Access Protocol (LDAP) ディレクトリーで必須です。

バインド識別名 (DN)

アプリケーション・サーバーがディレクトリー・サービスにバインドするために使用する DN を指定します。

名前を指定しない場合、アプリケーション・サーバーは匿名でバインドされます。 識別名の例については、「基本識別名 (DN)」フィールドの説明を参照してください。

バインド・パスワード

アプリケーション・サーバーがディレクトリー・サービスにバインドするために使用するパスワードを指定します。

検索タイムアウト

要求が停止される前に Lightweight Directory Access Protocol (LDAP) サーバーが応答するタイムアウト値を、秒単位で指定します。

通知
デフォルト: 120

接続の再利用

サーバーが LDAP 接続を再利用するかどうかを指定します。このオプションをクリアするのは、ごくまれな状況に限られます。 例えば、要求を複数の LDAP サーバーに分配するためにルーターが使用されるとき、 およびルーターがアフィニティーをサポートしないとき、などに限られます。

通知
デフォルト: 使用可能
範囲: 使用可能または使用不可
重要:接続の再利用」オプションを使用不可にすることによって、アプリケーション・サーバーは LDAP 検索要求ごとに新規の LDAP 接続を作成できます。ご使用の環境で拡張 LDAP 呼び出しが必要な場合、この状態はシステム・パフォーマンスに影響します。 このオプションが提供されているのは、ルーターが要求を同一の LDAP サーバーに送信しないためです。 このオプションは、アプリケーション・サーバーと LDAP の間のアイドル接続タイムアウト値またはファイアウォール・タイムアウト値が小さすぎる場合にも使用されます。

LDAP フェイルオーバーのために WebSphere Edge Server を使用する場合は、Edge Server で TCP リセットを使用可能にする必要があります。TCP リセットにより、接続は即時にクローズし、 バックアップ・サーバーはフェイルオーバーします。

許可検査で大/小文字を区別しない

デフォルトの許可を使用する場合に、 許可検査で大/小文字を区別しないよう指定します。

このオプションは、IBM Tivoli Directory Server が LDAP ディレクトリー・サーバーとして選択されている場合には必須です。

このオプションは、Sun ONE Directory Server が LDAP ディレクトリー・サーバーとして選択されている場合には必須です。 詳しくは、資料中の『特定のディレクトリー・サーバーの LDAP サーバーとしての使用』を参照してください。

このオプションはオプショナルであり、許可検査で大/小文字の区別が必要な場合に使用可能にすることができます。例えば、 証明書および証明書の内容の大/小文字が LDAP サーバーのエントリーと一致しない場合に、このオプションを使用します。 アプリケーション・サーバー と Lotus Domino 間でシングル・サインオン (SSO) を使用している場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にできます。

通知
デフォルト: 使用可能
範囲: 使用可能または使用不可

SSL 使用可能

Lightweight Directory Access Protocol (LDAP) サーバーに対してセキュア・ソケット通信を使用可能にするかどうかを指定します。

使用可能にすると、LDAP Secure Sockets Layer (SSL) の設定値が指定されている場合には、その設定値が使用されます。

中央管理対象

SSL 構成の選択が、Java™ Naming and Directory Interface (JNDI) プラットフ ォームのアウトバウンド・トポロジー表示をベースにすることを指定します。

中央管理構成は、SSL 構成を構成文書に広げるのではなく、SSL 構成を保守するために 1 つのロケーションをサポートします。

通知
デフォルト: 使用可能

特定 SSL 別名の使用

LDAP アウトバウンド SSL 通信に使用する SSL 構成別名を指定します。

このオプションは、JNDI プラットフォームの中央管理構成をオーバーライドします。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_singleldaprepos
ファイル名:usec_singleldaprepos.html