拡張 LDAP ユーザー・レジストリー設定
ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリーに置かれている場合に、 このページを使用して拡張 LDAP ユーザー・レジストリー設定を構成します。
- とクリックします。
- 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
- 「追加プロパティー」の下で、「拡張 LDAP ユーザー・レジストリー設定」をクリックします。
すべてのユーザーおよびグループ関連フィルターのデフォルト値は、 該当するフィールドで既に指定されています。 ユーザーの要件によっては、これらの値を変更できます。 これらのデフォルト値は、「スタンドアロン LDAP レジストリーの設定」パネルで選択された LDAP サーバーのタイプに基づいています。 このタイプが変更された場合 (例えば、Netscape から Secureway への変更)、デフォルトのフィルターは自動的に変更されます。デフォルトのフィルター値が変更されると、 LDAP サーバー・タイプは、カスタム・フィルターが使用されていることを示す「カスタム」に 変更になります。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。
スタンドアロン LDAP レジストリーから統合リポジトリーにマイグレーションすることをお勧めします。WebSphere Portal 6.1 以降、またはWebSphere Process Server 6.1 以降に移行する場合、それらのアップグレードを行う前に、統合リポジトリーにマイグレーションする必要があります。 統合リポジトリーとその機能について詳しくは、『統合リポジトリー』トピックを参照してください。 統合リポジトリーへのマイグレーション方法について詳しくは、『スタンドアロン LDAP リポジトリーを統合リポジトリーの LDAP リポジトリー構成にマイグレーションする』トピックを参照してください。
ユーザー・フィルター
ユーザーのユーザー・レジストリーを検索する LDAP ユーザー・フィルターを指定します。
通常、このオプションは、セキュリティー・ロールをユーザーに割り当てるために使用 され、ディレクトリー・サービスでのユーザー検索に使用するプロパティーを指定 します。例えば、ユーザー ID を基にして ユーザーを検索するには、(&(uid=%v)(objectclass=inetOrgPerson)) と指定します。 この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。
通知 | 値 |
---|---|
データ型: | ストリング |
グループ・フィルター
グループのユーザー・レジストリーを検索する LDAP グループ・フィルターを指定します。
通常、このオプションは、セキュリティー・ロールをグループに割り当てるために使用され、 ディレクトリー・サービスでのグループ検索に使用するプロパティーを 指定します。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。
通知 | 値 |
---|---|
データ型: | ストリング |
ユーザー ID マップ
LDAP エントリーにユーザーのショート・ネームをマップする LDAP フィルターを指定します。
ユーザーが表示されるときにユーザーを表す情報部分を指定します。 例えば、オブジェクト・クラス = inetOrgPerson タイプのエントリーを ID 別に表示する場合は、inetOrgPerson:uid を指定します。このフィールドには、セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。
通知 | 値 |
---|---|
データ型: | ストリング |
グループ ID マップ
LDAP エントリーにグループのショート・ネームをマップする LDAP フィルターを指定します。
グループが表示されるときにグループを表す情報部分を指定します。 例えば、グループを名前別に表示するには、*:cn を指定します。 アスタリスク (*) はワイルドカード文字であり、 この場合、あらゆるオブジェクト・クラスを検索します。このフィールドには、セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。
通知 | 値 |
---|---|
データ型: | ストリング |
グループ・メンバー ID マップ
ユーザーとグループの関係を識別する LDAP フィルターを指定します。
ディレクトリー・タイプ SecureWay および Lotus Domino の場合、このフィールドには、 セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。 「オブジェクト・クラス:プロパティー」のペアでは、オブジェクト・クラス値はグループ・フィルターで定義される オブジェクト・クラスと同じであり、プロパティーはメンバー属性です。オブジェクト・クラス値が グループ・フィルターのオブジェクト・クラスに一致しない場合、グループがセキュリティー・ロールに マップされると許可が失敗することがあります。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。
IBM® Directory Server、Sun ONE、および Active Directory の場合、このフィールドには、セミコロン (;) で区切られた複数の「グループ属性:メンバー属性」ペアが入ります。これらのペアは、所定ユーザーが所有するすべてのグループ属性を列挙して、 ユーザーのグループ・メンバーシップを検索する際に使用します。例えば、属性ペア memberof:member は Active Directory が使用し、ibm-allGroup:member は IBM Directory Server が使用します。 また、このフィールドでは、オブジェクト・クラスのどのプロパティーが、 そのオブジェクト・クラスで表されるグループに属するメンバーのリストを保管するかを指定します。サポートされる LDAP ディレクトリー・サーバーについては、『サポートされるディレクトリーサービス』を参照してください。
通知 | 値 |
---|---|
データ型: | ストリング |
ネスト・グループ検索の実行
再帰的なネスト・グループ検索を指定します。
- IBM Directory Server は、ibm-allGroup 属性を使用してユーザーのグループ・メンバーシップを再帰的に計算するように、 アプリケーション・サーバー・セキュリティーによって事前構成されています。
- SunONE ディレクトリー・サーバーは、nsRole 属性を使用してネスト・グループ・メンバーシップを 計算するように事前構成されています。
通知 | 値 |
---|---|
データ型: | ストリング |
Kerberos ユーザー・フィルター
Kerberos ユーザー・フィルター値を指定します。この値は、Kerberos が、優先認証メカニズムの 1 つとして構成され、アクティブである場合に変更できます。
通知 | 値 |
---|---|
データ型: | ストリング |
証明書マップ・モード
X.509 証明書を LDAP ディレクトリー にマップする際、EXACT_DN と CERTIFICATE_FILTER のどちらを使用するかを指定します。指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。
通知 | 値 |
---|---|
データ型: | ストリング |
証明書フィルター
LDAP フィルターのフィルター証明書マッピング・プロパティーを指定します。 フィルターは、クライアント証明書内の属性を LDAP レジストリー内のエントリーにマップする際に使用されます。
- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
ここで、<xx> は、発行者識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。 例えば、発行者共通名に ${IssuerCN} を使用できます。
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
ここで、<xx> は、は、サブジェクト識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。例えば、サブジェクト共通名に ${SubjectCN} を使用できます。
- ${Version}

通知 | 値 |
---|---|
データ型: | ストリング |