Microsoft Active Directory を使用した認証

多くのインストール済み環境で、Microsoft Active Directory が、ユーザー認証とユーザー・データを管理するためのプライマリー・コンポーネントとして使用されます。Microsoft Active Directory の一部分では、Lightweight Directory Access Protocol (LDAP) サービスが提供されています。 WebSphere® Application Server は LDAP をサポートしているため、WebSphere Application Server は Microsoft Active Directory をサポートします。

Microsoft Active Directory は、LDAP に完全に準拠していますが、WebSphere Application Server によるディレクトリー情報の取得を困難にする可能性がある方法で LDAP 情報を 公開します。

WebSphere Application Server は、操作に必要なすべての情報が単一の LDAP ディレクトリーに含まれていることを前提とした方法 で作動します。複雑な Microsoft Active Directory の構成では、この前提は当てはまりません。 WebSphere Application Server - Microsoft Active Directory のインストール済み環境では、データがフォレスト内のドメイン・コントローラー全体に広がっているため、 固有の対処が必要となります。

Microsoft Active Directory インストール済み環境では、フォレストの使用を頻繁に取り入れます。そのようなものとして、 ユーザー ID の固有性に関するセキュリティー上の質問、ユーザー・グループ情報の信頼できる取得などがあり、 フォレスト間に広がるグループ・メンバーシップが重要になります。

以下の図に、標準的な Microsoft Active Directory の インストール環境を示します。

図 1. Microsoft Active Directory フォレスト. Microsoft Active Directory フォレストの図。Microsoft Active Directory フォレストの図。

この図は、1 つ以上のツリーからなる 2 つのフォレストを示しています。ツリーには、 1 つ以上のドメインを含むことができます。この場合、ドメインとは、構成される環境の基本を形成する 単一のアトミック単位です。各ドメインは、dc=acme, dc=com のような識別名 (DN) の プライマリー・ドメイン・コンポーネントから構成されます。フォレストでは、 信頼を他のフォレストに拡張することができます (この信頼は、Kerberos に基づきます。).

Microsoft Active Directory の WebSphere Application Server との構成

WebSphere Application Server 用の Microsoft Active Directory の構成 には、以下のようなさまざまな構成が考えられます。
  • 単純構成
  • 標準構成
  • やや標準から外れた構成
  • 珍しい構成

最も単純な構成は、 単一ドメインを表すスタンドアロン LDAP レジストリーによる構成です。 この構成は、WebSphere Application Server と Microsoft Active Directory との最も緊密な一致を表します。 この構成では、Microsoft Active Directory は、WebSphere Application Server スタンドアロン LDAP ユーザー・レジストリーの実装によってサポートされます。あるいは、 単一の LDAP リポジトリーを含む統合リポジトリー・レジストリーを介して、 この単一の Microsoft Active Directory ドメインに アクセスすることができます。

単純な単一ドメイン の Microsoft Active Directory 構成よりやや複雑な Microsoft Active Directory の標準構成は、フォレスト内の単一のツリーからなり、ツリーの各ブランチがドメインです。 この構成の例として、4 つのドメイン (A、B、C、D) を持つ単一のツリーによる構成例を以下に示します。

図 2. 標準フォレスト構成. 標準フォレスト構成標準フォレスト構成の図
このような構成には、多くの場合、地域単位または組織単位によって編成されたドメインがあります。この「単一ツリー」の Microsoft Active Directory 実装を使用するために必要な WebSphere Application Server レジストリー構成では、 統合リポジトリーを使用する必要があります。この構成には、複数の各ユーザー・リポジトリーから単一の仮想リポジトリーにエントリーを マップするために LDAP レジストリーが含まれています。これらの構成により、単一のリポジトリー内に 単一の指定されたレルムと LDAP サブツリーがあるフェデレーテッド・ユーザー・リポジトリーが作成されます。 リポジトリーのルートは統合リポジトリー内のベース・エントリー (仮想レルムの階層型名前空間 内の開始点) にマップされます。この構成における LDAP 検索は、最上位のドメイン・オブジェクトおよび それ以下の LDAP 参照に順次バインドしていきます。
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): WebSphere Application Server 内のスタンドアロン LDAP レジストリーは、LDAP 参照をサポートしないため、WebSphere Application Server - Microsoft Active Directory 構成では使用できません。gotcha

やや標準から外れた WebSphere Application Server - Microsoft Active Directory 構成は、より大規模な企業の組織単位の合併から発展します。企業で ドメインの単一のフォレストを使用していたところへ、いくつかの新しい組織単位の合併により、 フォレストにツリーが追加されるか、あるいは環境に複数のフォレストが追加されることがあります。 この環境では、WebSphere Application Server LDAP 構成をより注意深く設計する必要があります。このような環境では、別個の LDAP リポジトリーがフォレスト内の各ツリーの最上位にマップする 統合リポジトリー・レジストリーを使用する必要があります。 また、Microsoft Active Directory ツリーが最上位ドメインの下に存在する場合、LDAP 参照はその LDAP レジストリーに対して有効になっている必要があります。 合併の結果、フォレストは以下の図のようになります。

図 3. やや標準から外れた構成. ツリーの合併を示す、やや標準から外れた構成ツリーの合併を示す、やや標準から外れた構成

珍しい構成は、ユーザー・フォレストとグループ・フォレスト の組み合わせがある状態で構成される Microsoft Active Directory のドメインからなります。ユーザーは、ForeignSecurityPrincipals オブジェクトとして グループ・フォレストにインポートされます。グループには、メンバーとして、ForeignSecurityPrincipals オブジェクトの識別名 (DN) が含まれます。

この形式の構成では、 直接グループ検索は行われません。検索は、複数のレジストリー全体にわたる静的グループ照会に降格されます。この構成では、カスタム・ユーザー・レジストリーが必要です。ただし、WebSphere Application Server レジストリーは このタイプの構成をサポートしません。以下の図を参照してください。

図 4. リソース・モデル・フォレスト. リソース・モデル・フォレストの図。リソース・モデル・フォレストの図。

Microsoft Active Directory フォレストの LDAP ユーザー・フィルターとしての使用

複数のリポジトリー間 や Microsoft Active Directory フォレスト構成などの分散 LDAP 間での ユーザーの認証は容易ではありません。レジストリー全体の検索を行う場合に、 あいまいな一致結果により、実行時に複数の一致が検出された場合、認証は失敗します。複数の Microsoft Active Directory ドメイン環境では、WebSphere Application Server 管理者は、Microsoft Active Directory での デフォルトの固有 ID がユーザーの sAMAccountName 属性であることを考慮する必要があります。ユーザー ID が 単一ドメイン内で固有であることは保証されますが、所定のユーザー ID がツリーまたはフォレスト全体 にわたって固有であることを保証することはできません。ユーザーの sAMAccountName 属性を使用して Microsoft Active Directory フォレスト内のユーザー ID を 検索する方法について理解するには、『Microsoft Active Directory フォレストにおける LDAP レジストリーによるユーザーの認証』のトピックを参照してください。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): これらのいずれかのシナリオを選択する前に、該当する Microsoft Active Directory 情報を調べて、シナリオが構成計画に及ぼす可能性がある影響を十分に理解してください。gotcha

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad
ファイル名:csec_was_ad.html