Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーは、
WebSphere® Application Server がサポートしている任意の認証メカニズムで使用できます。
そのため、Application Server リソースへのアクセス許可を付与されるユーザーを LDAP ディレクトリーに追加する必要があります。
このタスクについて
この情報は、iSeries Directory Services 製品に固有の情報です。
ユーザーを追加するには、さまざまな方法を使用できます。ただし、最も簡単な方法は、LDAP Data Interchange Format (LDIF) ファイルを作成することです。
このファイルには、ディレクトリーに追加するユーザーの集合が含まれます。
このファイルは、idsldapmodify などの LDAP ユーティリティーで使用されます。
これらのユーティリティーは、オペレーティング・システムまたはワークステーションのどちらからでも実行できます。
これらの LDAP ユーティリティーをオペレーティング・システムから実行する場合、LDIF ファイルは統合ファイル・システム内にある必要があります。
ユーザーを LDAP ユーザー・レジストリーに追加するには、以下のステップを実行します。
手順
- LDIF ファイルを作成し、統合ファイル・システムに保存します。 Edit File (EDTF) ユーティリティーまたはワークステーションのテキスト・エディターを使用して、ファイルを作成します。
ドライブのマッピングまたはファイル転送プロトコル (FTP) を使用して、統合ファイル・システムにファイルを保存します。
WebSphere Application Server および LDAP ディレクトリー・サービスに関して、ePerson スキーマ定義に対応するエントリーをディレクトリー内に作成します。
単純な ePerson LDIF エントリーは、以下の例のようになります。
dn: cn=John Doe, ou=Rochester, o=IBM, c=US
objectclass: person
objectclass: inetOrgPerson
objectclass: top
objectclass: organizationalPerson
objectclass: ePerson
cn: John Doe
sn: Doe
uid: jdoe
userpassword: secretpass
この LDIF エントリーは、ユーザー John Doe 用の ePerson を定義します。
John のユーザー ID (uid) は jdoe に設定され、パスワードは secretpass に設定されます。
このエントリーは Rochester 組織単位の中にあり、この組織単位は米国の IBM® 組織の中にあります。
エントリーを含む ou、o、および c のそれぞれが、この ePerson エントリーが定義される前に定義されます。
一連の LDIF エントリーを同じファイルに定義して、WebSphere Application Server に対して Lightweight Third Party Authentication (LTPA) ユーザーを定義できます。
userpassword 属性の値を指定しない場合、LDAP サーバーは、uid 属性値によって識別されたローカル・オペレーティング・システム用のユーザー・プロファイルを使用して LTPA ユーザーを認証しようとします。
ユーザーにオペレーティング・システム用のユーザー・プロファイルがあり、オペレーティング・システム・ユーザー・レジストリーと LDAP ディレクトリーの両方でパスワードを管理することを避けたい場合、このアクションが役立ちます。
ePerson エントリーを作成する場合、cn および uid 属性がそれぞれ固有値を持つようにする必要があります。
cn 属性と uid 属性の値が同じ複数のエントリーを作成しないでください。
重要: 大規模なユーザー・レジストリーでは、「グループ・メンバー ID マップ」プロパティーがデフォルト値 (groupOfNames:member および groupOfUniqueNames:uniqueMember の両方) のままである場合、ログイン・パフォーマンスに著しく影響することがあります。
このパフォーマンス上の問題に対処するためには、これらのオブジェクト・クラスの両方ではなく 1 つを指定します。
そのうえで、選択したオブジェクト・クラスを、ユーザー・レジストリーにグループを実装するためだけに使用する必要があります。
- LDIF ファイル・エントリーをサーバー上のディレクトリーにインポートします。 LDAP ldapadd ユーティリティーは、Qshell Interpreter (QSH) 内またはワークステーションから使用します。
次のタスク
LDIF エントリーのインポートについて詳しくは、IBM i 6.1 および 7.1 のインフォメーション・センターにあるディレクトリー・サービスの資料を参照してください。