スタンドアロン Lightweight Directory Access Protocol レジストリー

スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリーは、LDAP バインディングを使用して認証を行います。

WebSphere® Application Server セキュリティーは、ユーザーおよびグループの情報用リポジトリーとして機能する、主要な LDAP ディレクトリー・サーバーの実装を提供し、サポートします。 これらの LDAP サーバーは、ユーザー認証やその他のセキュリティー関連タスクの際に呼び出されます。 例えば、ユーザーまたはグループ情報を取得するために、サーバーが使用されます。 このサポートは、ユーザーおよびグループの情報を取得するためにさまざまなユーザーおよびグループのフィルターを使用することにより、提供されます。 これらのフィルターは、 ユーザーの要求に合うように変更可能なデフォルト値を持っています。 カスタム LDAP フィーチャーにより、適切なフィルターを使用すれば、製品がサポートする LDAP サーバーのリストにはない、 他の任意の LDAP サーバーをユーザー・レジストリーとして使用できます。

注: 初期のプロファイル作成では、WebSphere Application Server がファイル・ベースのレジストリーで統合リポジトリーのセキュリティー・レジストリー・オプションを使用するように構成します。 このセキュリティー・レジストリー構成は、スタンドアロン LDAP レジストリーを含め他のオプションを使用するよう変更できます。ユーザー・アカウント・リポジトリー構成で統合リポジトリー・オプションからスタンドアロン LDAP レジストリー・オプションに変更する代わりに、LDAP 構成を備えた統合リポジトリー・オプションを利用することを検討してください。 統合リポジトリーには、広範囲の機能 (1 つ以上のユーザー・レジストリーを保持する機能など) が用意されています。 ファイル・ベースのレジストリーおよびカスタム・レジストリーに加えて、1 つ以上の LDAP の統合がサポートされます。 さらに、改善されたフェイルオーバー機能や、堅固な一連のメンバー (ユーザーおよびグループ) 管理機能もあります。 WebSphere Portal 6.1 以上 および Process Server 6.1 以上の新しいメンバー管理機能を使用する場合は、統合リポジトリーが 必要です。LDAP 参照の追跡には、統合リポジトリーを使用する必要があります。LDAP 参照の追跡は、いくつかの LDAP サーバー環境 (Microsoft Active Directory など) では一般的な要件です。

スタンドアロン LDAP レジストリーから統合リポジトリーにマイグレーションすることをお勧めします。WebSphere Portal 6.1 以上または WebSphere Process Server 6.1 以上 (あるいはその両方) に移行する場合は、これらのアップグレードの前に統合リポジトリーにマイグレーションする必要があります。 統合リポジトリーおよびその機能について詳しくは、『統合リポジトリー』のトピックを参照してください。 統合リポジトリーへのマイグレーション方法について詳しくは、『スタンドアロン LDAP リポジトリーを統合リポジトリーの LDAP リポジトリー構成にマイグレーションする』のトピックを参照してください。

LDAP をユーザー・レジストリーとして使用するには、 レジストリーで定義されている管理ユーザー名、 サーバーのホストとポート、基本識別名 (DN)、 およびバインド DN とバインドのパスワード (必要な場合) を 把握しておく必要があります。 レジストリー内で検索可能で管理特権を持つ、有効な任意のユーザーを選択できます。 一部の LDAP サーバーでは、例えば SecureWay の cn=root など、管理ユーザーは検索不可で使用できないことがあります。 この資料では、このユーザーを、WebSphere Application Server セキュリティー・サーバー ID、サーバー ID、またはサーバー・ユーザー ID と呼びます。 ユーザーがサーバー ID であるということは、 保護された内部メソッドを呼び出す際に特別な権限があるということです。 通常、この ID およびパスワードは、セキュリティーをオンにした後に管理コンソールにログインする際に使用されます。 別のユーザーでも、そのユーザーに管理ロールがあれば、ログインに使用することができます。

セキュリティーがこの製品で使用可能ある場合、 1 次管理ユーザー名およびパスワードは、製品の開始の際にレジストリーで認証されます。 認証が失敗すると、サーバーは始動しません。 期限切れでない ID とパスワード、または頻繁に変更されている ID とパスワードを選択してください。レジストリー内で製品サーバー・ユーザー ID またはパスワードを変更する必要がある場合は、 必ず、すべての製品サーバーを始動して稼働しているときに変更を行うようにしてください。

レジストリー内で変更を完了したら、 Lightweight Directory Access Protocol ユーザー・レジストリーの構成で説明しているステップに従ってください。 ID、パスワード、およびその他の構成情報を変更して保存してから、 新規の ID またはパスワードが製品で使用されるように、 すべてのサーバーを停止して再始動します。 セキュリティーが使用可能であるときに、製品の始動に何か問題が発生した場合は、 サーバーを始動できるようにするためにセキュリティーを使用不可にしてください。 この問題を避けるには、 このパネルでの変更が「グローバル・セキュリティー」パネルで検証済みであることを確認してください。 サーバーが始動したら、ID、パスワード、およびその他の構成情報を変更し、 その後にセキュリティーを使用可能にすることができます。

カスタム Lightweight Directory Access Protocol (LDAP) フィーチャーを使用すると、正しい構成をセットアップすることによって、 任意の LDAP サーバーをサポートできます。 ただし、これらのカスタム LDAP サーバーはサポートの対象にはなりません。多種の構成が考えられるためです。

ユーザーおよびグループ、さらにセキュリティー・ロール・マッピングの情報は、アクセス制御の決定のため、構成済み許可エンジンにより使用されます。

[z/OS]LDAP レジストリーをアクティブ・レジストリーとして構成する場合は、以下のいずれかの許可メカニズムを構成できます。
  • EJBROLE または GEJBROLE プロファイルを使用した System Authorization Facility (SAF) 許可。 SAF は他のすべての許可メカニズムに優先します。
  • Java™ Contract for Containers (JACC) プロバイダーとしての Tivoli® Access Manager。 詳しくは、JACC プロバイダーとしての Tivoli Access Manager の統合を参照してください。
  • アプリケーション・アセンブラーまたは WebSphere Application Server セキュリティー管理者により作成される、ユーザーとロールのバインディング。
[z/OS]すべてのユーザー・レジストリーに対する許可メカニズムとして、 SAF 許可 (SAF EJBROLE プロファイルを使用した SAF ユーザーおよびグループへのロールの割り当て) を使用できます。 SAF 許可が管理コンソールで選択された場合は、以下のようになります。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
ファイル名:csec_ldap.html