Lightweight Directory Access Protocol レジストリー内のユーザー・グループ・メンバーシップの検索
Lightweight Directory Access Protocol (LDAP) サーバーを使用するように WebSphere® Application Server セキュリティーを構成できます。LDAP 仕様では、さまざまなメカニズムでグループ・メンバーシップを定義できます。使用する LDAP サーバー実装によっては、メソッドを使用してグループ・メンバーシップを判別できます。WebSphere Application Server は、グループ・メンバーシップを直接または間接的に検索することができます。また、一部の Lightweight Directory Access Protocol (LDAP) サーバーの 1 つ以上の静的グループ、再帰的またはネストされたグループ、および動的グループを検索するように製品を構成することもできます。
手順
タスクの結果
直接法を使用している場合でも、動的グループ、再帰的グループ、および静的グループが、単一の属性の複数の値として戻される場合があります。 例えば、IBM Directory Server では、ibm-allGroups 属性を使用して、 静的グループ、動的グループ、およびネストされたグループを含むすべてのグループ・メンバーシップを戻すことができます。 Sun ONE では、管理されたロール、フィルタリングされたロール、およびネストされたロールを含むすべてのロールが、 nsRole 属性を使用して計算されます。 LDAP サーバーが nsRole 属性を使用できる場合、 動的グループ、ネストされたグループ、および静的グループはすべて、 WebSphere Application Server によってサポートされます。
一部の LDAP サーバーには、再帰的計算機能が含まれていません。 例えば、 Microsoft Active Directory サーバーには、memberOf 属性を使用する直接的グループ検索機能がありますが、 この属性は、グループの直接ネストのみを行うグループをリスト表示し、 ネストされた先行グループの再帰的リストを含みません。 Lotus Domino LDAP サーバーでは、ユーザーのグループ・メンバーシップを検索するために、間接的な方法のみがサポートされます。 Lotus Domino サーバーから直接、再帰的グループ・メンバーシップを取得することはできません。再帰的検索機能のない LDAP サーバーのために、 WebSphere Application Server セキュリティーは再帰的機能を提供しています。 この機能は、 「拡張 LDAP ユーザー登録設定」にある「Perform a Nested Group Search」をクリックして使用可能にします。 ご使用の LDAP サーバーが再帰的検索機能を備えておらず、 再帰的検索が必要な場合にのみ、このオプションを選択してください。