特定のディレクトリー・サーバーの LDAP サーバーとしての使用

WebSphere® Application Server で Lightweight Directory Access Protocol (LDAP) サーバーとしてサポートされるディレクトリー・サーバーに関する重要な情報について説明します。

始める前に

スタンドアロン LDAP レジストリーでは、Microsoft Active Directory フォレストはサポートされていません。 統合リポジトリー・レジストリーでは、Active Directory の LDAP を使用するように構成されている場合は、フォレストの使用がサポートされています。

このタスクについて

その他の LDAP サーバーが LDAP 仕様に従うことが予想されます。 サポートの対象となるのは、 これらの特定のディレクトリー・サーバーのみに限定されます。 他のディレクトリー・サーバーを使用するには、リストでカスタム・ディレクトリー・タイプを選択し、 そのディレクトリーに必要なフィルターを入力します。

LDAP 検索のパフォーマンスを向上させるため、 IBM® Tivoli® Directory Server、Sun ONE、および Active Directory のデフォルト・フィルターは、 ユーザーを検索する際に、そのユーザーに関するすべての関連情報 (ユーザー ID、グループなど) が検索結果に含まれるように定義されています。 結果として、製品は LDAP サーバーを複数回呼び出しません。この定義は、上記のディレクトリー・タイプの場合に限られ ます。これらのサポートでは、ユーザーに関する完全な情報が入手できる場所を検索するためです。

IBM Directory Server を使用する場合には、「許可検査で大/小文字を区別しない」オプションを選択します。 このオプションが必要なのは、グループ情報がユーザー・オブジェクト属性から得られる場合、グループ情報を直接入手した場合とは 大/小文字の使い分けが異なるためです。このような場合に許可を機能させるためには、 大文字小文字を区別しないで許可検査を行い、 「許可検査で大/小文字を区別しない」 オプションの要件を確認します。

[z/OS]DB2® Technical Database Management (TDBM) のバックエンドが使用される場合は、 LDAP Security Server for the z/OS® プラットフォームがサポートされます。 LDAP Security Server for the z/OS プラットフォームに接続するためには、SecureWay Directory Server フィルターを使用してください。

  • [IBM i]LDAP サーバーとしてのディレクトリー・サービスの使用

    他のグループやネストされたグループを含むグループへのサポートは、WebSphere Application Server および LDAP のバージョンによって異なります。詳しくは、LDAP に対する動的グループとネストされたグループのサポートを参照してください。

  • IBM Tivoli Directory Server の LDAP サーバーとしての使用

    [AIX Solaris HP-UX Linux Windows][IBM i] IBM Tivoli Directory Server (以前の IBM Directory Server) を使用するには、 IBM Tivoli Directory Server をディレクトリー・タイプとして選択します。

    [z/OS]IBM Directory Server には、 IBM Tivoli Directory ServerSecureWay のいずれかのディレクトリー・タイプを選択できます。

    これらの 2 つのタイプでは、グループ・メンバーシップの検索方法が異なります。 実行時に最適なパフォーマンスを実現するには、 IBM Tivoli Directory Server を選択することをお勧めします。 IBM Tivoli Directory Server では、グループ・メンバーシップは運用属性です。 この属性では、グループ・メンバーシップの検索は、 エントリーの ibm-allGroups 属性を列挙して行われます。すべてのグループ・メンバーシップ (静的グループ、動的グループ、およびネストされたグループを含む) を、ibm-allGroups 属性を使用して戻すことができます。

    WebSphere Application Server では、ibm-allGroups 属性を使用して、 IBM Tivoli Directory Server での動的グループ、ネストされたグループ、および静的グループがサポートされます。 セキュリティー許可を行うアプリケーションでこの 属性を利用するには、ibm-allGroups が戻す属性値がすべて大文字となるように、大/小文字を区別しない突き合わせを 使用します。

    重要: バージョン 9.0 と IBM Tivoli Directory Server バージョン 6.0 を 同じマシンにインストールしないことをお勧めします。 バージョン 9.0 を IBM Tivoli Directory Server の 管理コンソールとして使用することはできません。 IBM Tivoli Directory Server バージョン 6.0 と バージョン 9.0 が同じマシンに インストールされている場合、ポートの競合が発生することがあります。

    IBM Tivoli Directory Server バージョン 6.0 と バージョン 9.0 を同じマシンにインストールする必要がある場合は、 次の情報を参考にしてください。

    • IBM Tivoli Directory Server のインストール・プロセス中に、Web 管理ツールバージョン 5.1.1 を選択する必要があります。
    • バージョン 9.0 をインストールします。
    • バージョン 9.0 をインストールする際に、 アプリケーション・サーバーのポート番号を変更します。
    • バージョン 9.0WebSphere Application Server 環境変数、WAS_HOME および WAS_INSTALL_ROOT (IBM i の場合は APP_SERVER_ROOT) の調整が必要な場合があります。 管理コンソールを使用して変数を変更するには、「環境」>「WebSphere 変数」をクリックします。
  • Lotus® Domino Enterprise Server の LDAP サーバーとしての使用
    Lotus Domino Enterprise Server バージョン 6.5.4 またはバージョン 7.0 を選択した場合に、 属性のショート・ネームがスキーマに定義されていない場合には、以下のいずれかの処置を行うことができます。
    • スキーマを変更してショート・ネーム属性を追加します。
    • ユーザー ID マップ・フィルターを変更して、ショート・ネームを定義された他の属性 (UID への変更が推奨されます) と置き換えます。 例えば、person:shortnameperson:uid に変更します。
    userID マップ・フィルターは、shortname 属性の代わりに uid 属性を 使用するように変更されました。これは Lotus Domino の現行バージョンがデフォルトで shortname 属性を作成しないためです。 shortname 属性を使用する場合は、スキーマ内で属性を 定義し、userID マップ・フィルターを変更します。

    User ID Map :    person:shortname

  • Sun ONE Directory Server の LDAP サーバーとしての使用
    ご使用の Sun ONE Directory Server システム用の Sun ONE Directory Server を選択できます。Sun ONE Directory Server でグループを作成する場合、オブジェクト・クラス はデフォルトで groupOfUniqueName になります。 より良いパフォーマンスのために、WebSphere Application Server はユーザー・オブジェクトを 使用して、nsRole 属性からユーザー・グループ・メンバーシップを検索します。 ロールからグループを作成します。groupOfUniqueName 属性を使用してグループを検索する場合、 独自のフィルター設定を指定します。 ロールはエントリーを一元化します。 ロールは、アプリケーションでより効率良く、容易に使用できるように設計されています。例えば、 グループを選択しメンバー・リストを参照して検索するのではなく、所定のエントリーが所有するすべてのロールを列挙することによって、アプリケーションはエントリーのロールを検索できます。ロールを使用すると、以下を使用してグループを作成できます。
    • 管理対象のロール
    • フィルタリングされたロール
    • ネストされたロール
    これらのロールのすべてが nsRole 属性によって計算可能です。
  • Microsoft Active Directory サーバーの LDAP サーバーとしての使用

    WebSphere Application Server での認証用の LDAP サーバーとして Microsoft Active Directory を使用する には、特定のステップを実行する必要があります。デフォルトでは、Microsoft Active Directory で匿名の LDAP 照会を実行できません。 LDAP 照会を作成したりディレクトリーを参照したりするためには、 LDAP クライアントは、Application Server で必要な LDAP 属性の値 (ユーザー情報、 グループ情報など) を検索して読み取る権限のあるアカウントの識別名 (DN) を 使用して、LDAP サーバーにバインドしなければなりません。 Active Directory の場合、グループ・メンバーシップの検索は、各グループのメンバー・リストを参照して行われるのではなく、所定のユーザー・エントリーの memberof 属性を列挙して行われます。 このデフォルトの動作を変更して各グループを参照するには、「グループ・メンバー ID マップ」フィールドを memberof:member から group:member に変更します。

以下のステップでは、Microsoft Active Directory を LDAP サーバーとしてセットアップする方法について説明します。

手順

  1. 管理者グループ内のアカウントの完全識別名 (DN) とパスワードを決定します。
    [AIX Solaris HP-UX Linux Windows][IBM i]例えば、Active Directory の管理者が、Windows のコントロール パネルの「Active Directory ユーザーとコンピュータ」の「ユーザー」フォルダーにアカウントを作成し、その DNS ドメインが ibm.com の場合、結果として DN の構造は以下のようになります。
    cn=<adminUsername>, cn=users, dc=ibm, 
    dc=com
  2. Microsoft Active Directory 内のすべてのアカウントのショート・ネームとパスワードを決定します。
  3. WebSphere Application Server 管理コンソールを使用して、Microsoft Active Directory の使用に必要な情報を以下のようにセットアップしてください。
    1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
    2. 「ユーザー・アカウント・リポジトリー」において、「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
    3. LDAP サーバーのタイプとして、Active Directory で LDAP をセットアップします。 前のステップで決定した情報に基づいて、LDAP 設定パネルで次の値を指定できます。
      1 次管理ユーザー名
      レジストリー内で定義される、管理特権を持つユーザーの名前を指定します。 このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
      タイプ
      Active Directory を指定します
      ホスト
      Microsoft Active Directory を実行しているマシンのドメイン・ネーム・サービス (DNS) 名を指定します。
      基本識別名 (DN)
      ステップ 1 で選択したアカウントの DN のドメイン・コンポーネントを指定します。 例: dc=ibm, dc=com
      バインド識別名 (DN)
      ステップ 1 で選択したアカウントの完全な識別名を指定します。例: cn=adminUsername, cn=users, dc=ibm, dc=com
      バインド・パスワード
      ステップ 1 で選択したアカウントのパスワードを指定します。
    4. OK」および「保存」をクリックして、変更をマスター構成に保存します。
  4. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  5. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
  6. Automatically generated server identity」または「Server identity that is stored in the repository」のいずれかのオプションを選択します。Server identity that is stored in the repository」オプションを選択した場合は、以下の情報を入力します。
    バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー
    ステップ 2 で選択したアカウントのショート・ネームを指定します。
    サーバー・ユーザー・パスワード
    ステップ 2 で選択したアカウントのパスワードを指定します。
  7. オプション: LDAP のパフォーマンスを向上させるには、 「グループ・メンバー ID マップ」フィールドのフィルターに ObjectCategory を設定します。
    1. 「追加プロパティー」の下で、 「拡張 LDAP ユーザー・レジストリー設定」をクリックします。
    2. 「グループ・メンバー ID マップ」フィールドの末尾に ;objectCategory:group を追加します。
  8. OK」および「保存」をクリックして、変更をマスター構成に保存します。
  9. 変更を有効にするために、管理サーバーを停止してから、再始動します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tmsad
ファイル名:tsec_tmsad.html