WebSphere® Application
Server は Microsoft Active
Directory をサポートします。多くのインストール済み環境で、Microsoft Active Directory が、ユーザー認証とユーザー・データを管理するためのプライマリー・コンポーネントとして使用されます。複数のリポジトリー間や Microsoft Active Directory フォレストなどの分散 Lightweight Directory Access Protocol (LDAP) リポジトリー間でのユーザーの認証は容易ではありません。レジストリー全体の検索で、実行時に複数の一致があると、結果としてあいまい一致となるため、認証は失敗します。
このタスクについて
単一ドメイン内ではユーザー ID の固有性が保証されますが、ツリーやフォレストでは与えられたユーザー ID の固有性が自動的に保証されることはありません。次の図は、与えられたユーザー ID がツリーやフォレストで固有でない条件を例示したものです。
図 1. フォレスト検索戦略。.
フォレスト全体での非固有 sAMAccountName の検索例。
複数のツリーまたはフォレストにわたったユーザーの認証は容易でない場合があります。以下のステップを実行することをお勧めします。
注: 以下の条件に該当する場合、Microsoft Windows の Computer Browser サービスがご使用のオペレーティング・システムで有効になっていることを確認する必要があります。
- 1 次ドメインが Microsoft Active Directory によって管理されている。
- 1 次ドメイン・コントローラー (PDC) が WebSphere Application Server とは異なるサブネットに存在する。
- WebSphere Application Server のユーザー・レジストリーをローカル OS に設定し、Lightweight Directory Access Protocol (LDAP) に設定していない。
Microsoft Windows の Computer Browser サービスを有効にする設定方法やその検証方法について詳しくは、ご使用のオペレーティング・システムの Microsoft 資料を参照してください。
手順
- ご使用のインストール済み環境を定義する Microsoft Active
Directory 構成を分析します。 分析は、以下の形式で作成することができます。
- 単一 LDAP レジストリー - 単純構成。
- 統合リポジトリー (フォレスト)- 標準構成。
- 統合リポジトリーのマージャー (ツリーのマージャーによるフォレストの作成)- 低標準構成。
- ユーザー・フォレストとグループ・フォレストの組み合わせ - 希少構成。
- Microsoft Active Directory
のインストール済み環境と一致するユーザー検索方法を開発します。 単一ドメイン内ではユーザー ID の固有性が保証されますが、ツリーやフォレストでは与えられたユーザー ID の固有性が自動的に保証されないため、ご注意下さい。
- ご使用の認証検索戦略によって Microsoft Active Directory インストール済み環境で正常にユーザーの認証が行えることをテストで評価します。
タスクの結果
Microsoft Active Directory フォレストで LDAP レジストリーを使用してユーザーの認証を行うことになります。
次のタスク
トラブルの回避 (Avoid trouble): これらのシナリオのどれを選択するにしても、適切な Microsoft Active Directory 情報を参照して、これらのシナリオが構成計画に及ぼす可能性を十分に理解してください。
gotcha