スタンドアロン LDAP リポジトリーの統合リポジトリー LDAP リポジトリー構成へのマイグレーション

アプリケーション・サーバー用にセキュリティーを構成する際には、スタンドアロン LDAP レジストリーを、統合リポジトリーの LDAP リポジトリー構成にマイグレーションする必要が生じることがあります。

始める前に

マイグレーションするスタンドアロン LDAP リポジトリーの仕様をメモして、統合リポジトリー内で LDAP リポジトリーを構成する際に参照できるようにしてください。これらのフィールドにアクセスするには、管理コンソールで「セキュリティー」>「グローバル・セキュリティー」をクリックしてから、「ユーザー・アカウント・リポジトリー」の下で「使用可能なレルム定義」フィールドから「スタンドアロン LDAP レジストリー」または「統合リポジトリー」を選択し、「構成」をクリックします。複数セキュリティー・ドメイン環境でこれらのフィールドにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」>「セキュリティー・ドメイン」>「domain_nameとクリックしてから、「セキュリティー属性」の下で「ユーザー・レルム」を展開し、「このドメイン用にカスタマイズする」をクリックします。「レルム・タイプ」に「スタンドアロン LDAP レジストリー」 または「統合リポジトリー」を選択し、「構成」をクリックします。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): LDAP 属性、特に、ユーザー・フィルター属性およびグループ・フィルター属性の使用方法に精通していない場合は、ご使用のシステムでのこれらの属性に適した値の設定について LDAP 管理者に相談してください。gotcha

以下の表に、スタンドアロン LDAP リポジトリー構成と統合リポジトリーの LDAP リポジトリー構成の間のマッピングで使用する管理コンソール・パネルおよびフィールドを示します。

表 1. スタンドアロン LDAP リポジトリー構成と統合リポジトリー LDAP リポジトリー構成の間のマッピング. 次の表には、スタンドアロン LDAP リポジトリー構成と、統合リポジトリーの LDAP リポジトリー構成の間のマッピングが図示されています。
スタンドアロン LDAP リポジトリー構成 統合リポジトリー構成内の LDAP リポジトリー
グローバル・セキュリティー > スタンドアロン LDAP レジストリー

一般プロパティー (General properties) – 基本管理ユーザー名 (Primary administrative user name)

グローバル・セキュリティー > 統合リポジトリー

一般プロパティー (General properties) – 基本管理ユーザー名 (Primary administrative user name)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – LDAP サーバーのタイプ (Type of LDAP server)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

LDAP サーバー (LDAP server) – ディレクトリー・タイプ (Directory Type)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – ホスト (Host)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

LDAP サーバー (LDAP server) – 1 次ホスト名 (Primary host name)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – ポート (Port)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

LDAP サーバー (LDAP server) – ポート (Port)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – フェイルオーバー・ホスト (Failover hosts)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

LDAP サーバー (LDAP server) – 1 次サーバーが使用不可の場合に使用されるフェイルオーバー・サーバー (Failover server used when primary is not available)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – 基本識別名 (DN) (Base distinguished name (DN))

グローバル・セキュリティー > 統合リポジトリー > リポジトリー参照 (「ベース・エントリーをレルムに追加」をクリックする)

一般プロパティー – レルム内でこのエントリー集合を一意に識別するベース・エントリーの識別名

および

一般プロパティー – このリポジトリー内のベース・エントリーの識別名

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – 検索タイムアウト (Search timeout)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID > パフォーマンス

一般プロパティー – 検索時間の制限

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー – カスタム・プロパティー

グローバル・セキュリティー > 統合リポジトリー > カスタム・プロパティー
グローバル・セキュリティー > スタンドアロン LDAP レジストリー

LDAP サーバー (LDAP server) – サーバー・ユーザー ID (Server user identity)

グローバル・セキュリティー > 統合リポジトリー

一般プロパティー (General properties) – サーバー・ユーザー ID (Server user identity)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

セキュリティー – バインド識別名 (DN)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

セキュリティー – バインド識別名

グローバル・セキュリティー > スタンドアロン LDAP レジストリー

セキュリティー (Security) – バインド・パスワード (Bind password)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

セキュリティー (Security) – バインド・パスワード (Bind password)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー > 拡張 LDAP ユーザー・レジストリー設定

一般プロパティー (General properties) – Kerberos ユーザー・フィルター (Kerberos user filter)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

セキュリティー (Security) – Kerberos プリンシパル名に使用される LDAP 属性 (LDAP attribute used for Kerberos principal name)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー > 拡張 LDAP ユーザー・レジストリー設定

一般プロパティー (General properties) – 証明書マップ・モード (Certificate map mode)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

セキュリティー (Security) – 証明書マッピング (Certificate mapping)

グローバル・セキュリティー > スタンドアロン LDAP レジストリー > 拡張 LDAP ユーザー・レジストリー設定

一般プロパティー (General properties) – 証明書フィルター (Certificate filter)

グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID

セキュリティー (Security) – 証明書フィルター (Certificate filter)

上の表には、 統合リポジトリー LDAP 構成パネルの「汎用プロパティー」の下にある「レルム名」フィールドはリストされていません。 このフィールドは、スタンドアロン LDAP 構成パネルのフィールドと 1 対 1 で対応 していないためです。ホスト名およびポート番号は、WebSphere Application Server セル 内でのスタンドアロン LDAP サーバーのレルム名を 表します。レルム名の変更について詳しくは、 『レルム構成設定』トピックを参照してください。

上の表には、「ユーザー・フィルター」、 「グループ・フィルター」、「ユーザー ID マップ」、「グループ ID マップ」、および 「グループ・メンバー ID マップ」フィールドもリストされていません。これらのフィールドは、 統合リポジトリー LDAP リポジトリー構成パネルのフィールドと 1 対 1 で対応 していないためです。これらの LDAP 属性は、統合リポジトリーの LDAP リポジトリー構成内で別個に設定し、複数のステップが関係しています。 これらの設定については、以下のセクションと手順で詳しく説明されています。

このタスクについて

スタンドアロン LDAP リポジトリー構成から統合リポジトリーの LDAP リポジトリー構成へのマイグレーションには、構成パラメーターのマイグレーションが含まれます。このマイグレーションのほとんどは、上記のセクションの表 1 に示されているとおりです。スタンドアロン LDAP リポジトリー構成を統合リポジトリー LDAP 構成にマイグレーションする際には、検索フィルターのマイグレーションが重要な部分になります。したがって、LDAP 検索フィルターの概念とマイグレーションについて、ここで詳しく説明します。

スタンドアロン LDAP レジストリー検索フィルターは LDAP フィルター構文に従います。この構文では、検索の基になる属性とその値を指定します。

ユーザー・フィルターは、ユーザー用のレジストリーの検索に使用されます。 このフィルターに指定された属性を使用して、ユーザーの認証が行われます。

グループ・フィルターは、グループ用のレジストリーの検索に使用されます。 このフィルターは、グループの検索に使用するプロパティーを指定します。

一般的に使用される LDAP ユーザー・フィルターの例: 以下に検索フィルターの例を示します。 %v は実行時にユーザーまたはグループの対応する検索パターンに置き換えられます。

(&(uid=%v)(objectclass=ePerson))

uid 属性が ePerson オブジェクト・クラスの指定された検索パターンと一致するユーザーを検索します。

(&(cn=%v)(objectclass=user))

cn 属性が user オブジェクト・クラスの指定された検索パターンと一致するユーザーを検索します。

(&(sAMAccountName=%v)(objectcategory=user))

sAMAccountName 属性が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。

(&(userPrincipalName=%v)(objectcategory=user))

userPrinciplalName 属性が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。

(&(mail=%v)(objectcategory=user))

mail 属性が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。

(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))

sAMAccountName または userPrincipalName が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。

一般的に使用されるグループ・フィルターの例

(&cn=%v)(objectCategory=group)

共通名 (cn) に基づいてグループを検索します。

(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

グループの共通名 (cn) に基づき、groupOfNames オブジェクト・クラスまたは groupOfUniqueNames オブジェクト・クラスを使用してグループを検索します。

これらの例のように、スタンドアロン LDAP レジストリー検索フィルターは、検索やログインの実行内容に基づいて、LDAP 属性とオブジェクト・クラスで構成されます。

統合リポジトリーの LDAP アダプター構成内に LDAP 属性とオブジェクト・クラスを指定することもできますが、これらは別々に構成されるので、柔軟性が高くなります。 統合リポジトリー内では、ユーザーは PersonAccount エンティティー・タイプとして表され、グループは Group エンティティー・タイプとして表されます。 エンティティー・タイプごとに独自の RDN (相対識別名) プロパティー (rdnProperties) とオブジェクト・クラスを指定できます。 例えば、PersonAccount のデフォルトの RDN プロパティーは uid で、Group のデフォルトの RDN プロパティーは cn です。 デフォルトのオブジェクト・クラス・マッピングは、LDAP サーバー・タイプに応じて異なります。 例えば、Tivoli Directory Server の場合、PersonAccount のオブジェクト・クラスは inetOrgPerson で、Group のオブジェクト・クラスは groupOfNames です。 PersonAccount にログイン・プロパティーがある場合もあります。 ユーザー・レジストリー内のユーザーに関するユーザー・ログインまたは検索が実行される際には、これらのログイン・プロパティーがパターンと突き合わされます。 例えば、ログイン・プロパティーが uid および mail とすると、検索パターンが a* の場合には、uid=a* または mail=a* と一致するすべてのユーザーが戻されます。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): スタンドアロン LDAP リポジトリーの「ユーザー ID マップ」プロパティー (userIdMap) の 値を、統合リポジトリーの RDN プロパティー (rdnProperties) または 最初のログイン・プロパティー (loginProperties) として指定することができます。 統合リポジトリーの RDN プロパティーとログイン・プロパティーの 両方を設定することができますが、RDN プロパティーを設定するだけでも十分です。 ログイン・プロパティーはオプションであり、これを設定する必要があるのは、 ログイン・プロパティーが RDN プロパティーと異なる場合か、または、 複数のログイン・プロパティーがある場合のみです。RDN プロパティーとログイン・プロパティー の両方が設定されている場合、ログイン・プロパティーが RDN プロパティーよりも優先されます。gotcha

検索フィルターのマイグレーションには、正しいログイン・プロパティーの設定、バックエンド・リポジトリー属性の統合リポジトリー・プロパティーへのマッピング、オブジェクト・クラスの設定、オブジェクト・クラスまたはオブジェクト・カテゴリーを使用した検索フィルターの設定、メンバーまたはメンバーシップ属性の設定のうち 1 つ以上のステップが関係します。 統合リポジトリーに関するこのマッピングと構成は、wimconfig.xml ファイルに保持されます。

スタンドアロン LDAP レジストリー検索フィルターは、以下の 2 つの部分に分割できます。
  • ユーザーまたはグループの属性フィルター
  • ユーザーまたはグループのオブジェクト・クラスまたはオブジェクト・カテゴリー・フィルター
例えば、検索フィルター (&(cn=%v)(objectclass=user)) で、
  • 属性フィルターは (cn=%v) です。
  • オブジェクト・クラス・フィルターは (objectclass=user) です。
これらの 2 つのフィルターは、統合リポジトリー構成内で以下のように別々にマップされます。
  • 属性フィルターは、ユーザーの場合は RDN プロパティー構成かログイン・プロパティー構成にマップされ、グループの場合は RDN プロパティー構成にマップされます。
  • オブジェクト・クラス・フィルターは、LDAP アダプターのエンティティー・タイプ構成にマップされます。
デフォルトの属性とオブジェクト・クラスのマッピングは LDAP サーバー・タイプに基づいて設定されますが、これらの 2 つのフィルターをマイグレーションするには、以下の追加のステップが必要になる可能性があります。
  • 属性フィルター:
    • RDN プロパティー、ログイン・プロパティー、またはその両方の設定 (該当する場合)
    • 統合リポジトリー・プロパティーの LDAP 属性へのマッピング (該当する場合)
  • オブジェクト・クラス・フィルター:
    • エンティティー・タイプのオブジェクト・クラスの設定 (該当する場合)
    • エンティティー・タイプの検索フィルターの設定 (該当する場合)
以下の手順のステップの一部には 2 つの例が含まれています。 以下のステップで、
  • 例 1 は、検索フィルター (&(cn=%v)(objectclass=ePerson)) を、スタンドアロン IBM Tivoli Directory Server の LDAP リポジトリーから、ID に LDAPTDS を使用する統合リポジトリーの LDAP リポジトリーにマイグレーションするシナリオに適用できます。
  • 例 2 は、検索フィルター (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) を、スタンドアロン Microsoft Active Directory の LDAP リポジトリーから、ID に LDAPAD を使用する統合リポジトリーの LDAP リポジトリーにマイグレーションするシナリオに適用できます。sAMAccountName および userPrincipalName 属性が統合リポジトリー内で定義されていないので、これらの属性を統合リポジトリーのプロパティーにマップしなければなりません。

手順

  1. マイグレーションする LDAP リポジトリーを統合リポジトリー構成に追加します。

    このトピックのセクション『始める前に』の表 1 を参照し、トピック統合リポジトリー の新規構成における、単一の Lightweight Directory Access Protocol リポジトリーの構成に記述されているステップに従ってください。これらのステップには、以下を含む、完了しなければならない他の手順へのリンクが含まれています。

    • 統合リポジトリー構成における、外部リポジトリーの追加
    • 統合リポジトリー構成におけるサポートありのエンティティー・タイプの構成
    • 統合リポジトリー構成における Lightweight Directory Access Protocol の構成

    これらのステップをすべて行うと、マイグレーションする LDAP リポジトリーは統合リポジトリー構成内で正常に構成されます。

  2. ログイン・プロパティーを設定します (該当する場合)。

    ログイン・プロパティーとは、WebSphere Application Server へのログオンに使用するプロパティー名です。 区切り文字としてセミコロン (;) を使用すると、複数のログイン・プロパティーを指定できます。 uid、cn、sn、givenName、mail などの統合リポジトリー・プロパティーがログイン・プロパティーとして一般的に使用されます。

    管理コンソールでログイン・プロパティーを設定するには、トピック『Lightweight Directory Access Protocol リポジトリーの構成設定』のステップに従い、セクション『ログイン・プロパティー』中の設定を適用してください。
    例 1: 「ログイン・プロパティー (Login properties)」フィールドに、cn と入力します。
    例 2: 「ログイン・プロパティー (Login properties)」フィールドに、uid;cn と入力します。

    ステップ 3 を完全に行って、これらのプロパティーを LDAP 属性にマップします。

  3. 統合リポジトリー・プロパティーを LDAP 属性にマップします (該当する場合)。
    LDAP 属性が統合リポジトリー・プロパティーでない場合は、定義したログイン・プロパティーをこの LDAP 属性にマップしなければなりません。
    1. 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
    2. 「ユーザー・アカウント・リポジトリー」において、「使用可能なレルム定義」フィールドから「統合リポジトリー」を選択し、「構成」をクリックします。複数のセキュリティー・ドメイン環境内の特定のドメインを構成するには、「セキュリティー・ドメイン」>「domain_nameをクリックします。「セキュリティー属性」の下で「ユーザー・レルム」を 展開し、「このドメイン用にカスタマイズする」をクリックします。レルム・タイプとして「統合リポジトリー」を選択して、「構成」をクリックします。
    3. 「関連項目」の下の「リポジトリーの管理」>「repository_IDをクリックしてから、「追加プロパティー」の下の「LDAP 属性」リンクをクリックします。
    4. 属性マッピングがある場合は、まず LDAP 属性の既存のマッピングを削除してから、次にこの属性の新しいマッピングを追加しなければなりません。 LDAP 属性名の横のチェック・ボックスを選択し、「削除 (Delete)」をクリックします。
    5. 属性マッピングを追加するには、「追加 (Add)」をクリックし、ドロップダウン・メニューから「サポートあり (Supported)」を選択します。「名前 (Name)」フィールドに LDAP 属性名を入力し、「プロパティー名 (Property name)」フィールドに統合リポジトリー・プロパティー名を入力し、「エンティティー・タイプ (Entity types)」フィールドに属性マッピングを適用するエンティティー・タイプを入力します。
    例 1: 統合リポジトリー・プロパティー cn が LDAP 属性に暗黙にマップしているので、追加のマッピングは必要ありません。
    例 2: 2 つの LDAP 属性 sAMAccountName および userPrincipalName を含む検索フィルターがあります。
    • LDAP サーバー・タイプが Active Directory の場合、LDAP 属性パネル上の属性のリストに表示されるように、デフォルトで LDAP 属性 sAMAccountName は統合リポジトリー・プロパティー uid にマップします。 したがって、addIdMgrLDAPAttr コマンドを実行して、sAMAccountName の属性構成を追加する必要はありません。
    • LDAP 属性 userPrincipalName の属性マッピングがある場合は、既存の属性マッピングを削除してから、新しい構成を追加します。
      1. 「userPrincalName」の横のチェック・ボックスを選択し、「削除 (Delete)」をクリックします。
      2. 「追加 (Add)」をクリックし、ドロップダウン・メニューから「サポートあり (Supported)」を選択します。
      3. 「名前 (Name)」フィールドに、userPrincipalName と入力します。
      4. 「プロパティー名 (Property name)」フィールドに、cn と入力します。
      5. 「エンティティー・タイプ (Entity types)」フィールドに、PersonAccount と入力します。
  4. エンティティー・タイプのオブジェクト・クラスを設定します (該当する場合)。
    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このステップを実行する前に、現行のマッピングを確認してください。 オブジェクト・クラス・マッピングが既に設定済みの場合は、このステップをスキップしてください。gotcha
    管理コンソールでエンティティー・タイプのオブジェクト・クラスを設定するには、トピック『LDAP エンティティー・タイプの設定』のステップに従い、セクション『オブジェクト・クラス』中の以下の設定を適用してください。
    • ユーザー・フィルターのエンティティー・タイプ名として PersonAccount を指定します。
    • グループ・フィルターのエンティティー・タイプ名として 「グループ (Group)」 を指定します。
    例 1: 「エンティティー・タイプ (Entity type)」フィールドに、PersonAccount と入力します。

    「オブジェクト・クラス (Object classes)」フィールドに、ePerson と入力します。

    例 2:エンティティー・タイプ」フィールドに、PersonAccount と入力します。

    「オブジェクト・クラス (Object classes)」フィールドに、user と入力します。

  5. エンティティー・タイプの検索フィルターを設定します (該当する場合)。

    統合リポジトリーは、オブジェクト・クラス設定に基づいて検索を実行します。 このデフォルト設定を変更して、フィルターとしてオブジェクト・カテゴリーを使用するには、トピック『LDAP エンティティー・タイプの設定』のステップに従い、セクション『検索フィルター』中の設定を適用してください。

    例 1: 検索がオブジェクト・クラスに基づいているので、追加の構成は必要ありません。
    例 2: 「検索フィルター (Search filter)」フィールドに、(objectcategory=user) と入力します。
  6. グループ・フィルターをマイグレーションするには、グループ属性定義設定も構成しなければなりません。

    管理コンソールによってグループ属性定義設定を構成するステップは、トピック『Lightweight Directory Access Protocol レジストリーでのユーザー・グループ・メンバーシップの検出』の、セクション『統合リポジトリー・レジストリー内の LDAP レジストリー』に示されています。 トピック『AdminTask オブジェクトの IdMgrRepositoryConfig コマンド・グループ』で説明されている wsadmin コマンド addIdMgrLDAPGroupDynamicMemberAttr または addIdMgrLDAPGroupMemberAttr も使用できます。

  7. 構成の変更を保存します。
  8. アプリケーション・サーバーを再始動します。

タスクの結果

以上のステップが完了すると、統合リポジトリー構成内で使用するように LDAP リポジトリーが構成されます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_migrate_standaloneldap
ファイル名:twim_migrate_standaloneldap.html