スタンドアロン LDAP リポジトリーの統合リポジトリー LDAP リポジトリー構成へのマイグレーション
アプリケーション・サーバー用にセキュリティーを構成する際には、スタンドアロン LDAP レジストリーを、統合リポジトリーの LDAP リポジトリー構成にマイグレーションする必要が生じることがあります。
始める前に
マイグレーションするスタンドアロン LDAP リポジトリーの仕様をメモして、統合リポジトリー内で LDAP リポジトリーを構成する際に参照できるようにしてください。これらのフィールドにアクセスするには、管理コンソールで「セキュリティー」>「グローバル・セキュリティー」をクリックしてから、「ユーザー・アカウント・リポジトリー」の下で「使用可能なレルム定義」フィールドから「スタンドアロン LDAP レジストリー」または「統合リポジトリー」を選択し、「構成」をクリックします。複数セキュリティー・ドメイン環境でこれらのフィールドにアクセスするには、「セキュリティー」>「グローバル・セキュリティー」>「セキュリティー・ドメイン」>「domain_name」とクリックしてから、「セキュリティー属性」の下で「ユーザー・レルム」を展開し、「このドメイン用にカスタマイズする」をクリックします。「レルム・タイプ」に「スタンドアロン LDAP レジストリー」 または「統合リポジトリー」を選択し、「構成」をクリックします。

以下の表に、スタンドアロン LDAP リポジトリー構成と統合リポジトリーの LDAP リポジトリー構成の間のマッピングで使用する管理コンソール・パネルおよびフィールドを示します。
スタンドアロン LDAP リポジトリー構成 | 統合リポジトリー構成内の LDAP リポジトリー |
---|---|
グローバル・セキュリティー > スタンドアロン LDAP レジストリー 一般プロパティー (General properties) – 基本管理ユーザー名 (Primary administrative user name) |
グローバル・セキュリティー > 統合リポジトリー 一般プロパティー (General properties) – 基本管理ユーザー名 (Primary administrative user name) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – LDAP サーバーのタイプ (Type of LDAP server) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID LDAP サーバー (LDAP server) – ディレクトリー・タイプ (Directory Type) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – ホスト (Host) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID LDAP サーバー (LDAP server) – 1 次ホスト名 (Primary host name) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – ポート (Port) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID LDAP サーバー (LDAP server) – ポート (Port) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – フェイルオーバー・ホスト (Failover hosts) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID LDAP サーバー (LDAP server) – 1 次サーバーが使用不可の場合に使用されるフェイルオーバー・サーバー (Failover server used when primary is not available) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – 基本識別名 (DN) (Base distinguished name (DN)) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリー参照 (「ベース・エントリーをレルムに追加」をクリックする) 一般プロパティー – レルム内でこのエントリー集合を一意に識別するベース・エントリーの識別名 および 一般プロパティー – このリポジトリー内のベース・エントリーの識別名 |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – 検索タイムアウト (Search timeout) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID > パフォーマンス 一般プロパティー – 検索時間の制限 |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー – カスタム・プロパティー |
グローバル・セキュリティー > 統合リポジトリー > カスタム・プロパティー |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー LDAP サーバー (LDAP server) – サーバー・ユーザー ID (Server user identity) |
グローバル・セキュリティー > 統合リポジトリー 一般プロパティー (General properties) – サーバー・ユーザー ID (Server user identity) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー セキュリティー – バインド識別名 (DN) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID セキュリティー – バインド識別名 |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー セキュリティー (Security) – バインド・パスワード (Bind password) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID セキュリティー (Security) – バインド・パスワード (Bind password) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー > 拡張 LDAP ユーザー・レジストリー設定
一般プロパティー (General properties) – Kerberos ユーザー・フィルター (Kerberos user filter) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID セキュリティー (Security) – Kerberos プリンシパル名に使用される LDAP 属性 (LDAP attribute used for Kerberos principal name) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー > 拡張 LDAP ユーザー・レジストリー設定
一般プロパティー (General properties) – 証明書マップ・モード (Certificate map mode) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID セキュリティー (Security) – 証明書マッピング (Certificate mapping) |
グローバル・セキュリティー > スタンドアロン LDAP レジストリー > 拡張 LDAP ユーザー・レジストリー設定
一般プロパティー (General properties) – 証明書フィルター (Certificate filter) |
グローバル・セキュリティー > 統合リポジトリー > リポジトリーの管理 > repository_ID セキュリティー (Security) – 証明書フィルター (Certificate filter) |
上の表には、 統合リポジトリー LDAP 構成パネルの「汎用プロパティー」の下にある「レルム名」フィールドはリストされていません。 このフィールドは、スタンドアロン LDAP 構成パネルのフィールドと 1 対 1 で対応 していないためです。ホスト名およびポート番号は、WebSphere Application Server セル 内でのスタンドアロン LDAP サーバーのレルム名を 表します。レルム名の変更について詳しくは、 『レルム構成設定』トピックを参照してください。
上の表には、「ユーザー・フィルター」、 「グループ・フィルター」、「ユーザー ID マップ」、「グループ ID マップ」、および 「グループ・メンバー ID マップ」フィールドもリストされていません。これらのフィールドは、 統合リポジトリー LDAP リポジトリー構成パネルのフィールドと 1 対 1 で対応 していないためです。これらの LDAP 属性は、統合リポジトリーの LDAP リポジトリー構成内で別個に設定し、複数のステップが関係しています。 これらの設定については、以下のセクションと手順で詳しく説明されています。
このタスクについて
スタンドアロン LDAP リポジトリー構成から統合リポジトリーの LDAP リポジトリー構成へのマイグレーションには、構成パラメーターのマイグレーションが含まれます。このマイグレーションのほとんどは、上記のセクションの表 1 に示されているとおりです。スタンドアロン LDAP リポジトリー構成を統合リポジトリー LDAP 構成にマイグレーションする際には、検索フィルターのマイグレーションが重要な部分になります。したがって、LDAP 検索フィルターの概念とマイグレーションについて、ここで詳しく説明します。
スタンドアロン LDAP レジストリー検索フィルターは LDAP フィルター構文に従います。この構文では、検索の基になる属性とその値を指定します。
ユーザー・フィルターは、ユーザー用のレジストリーの検索に使用されます。 このフィルターに指定された属性を使用して、ユーザーの認証が行われます。
グループ・フィルターは、グループ用のレジストリーの検索に使用されます。 このフィルターは、グループの検索に使用するプロパティーを指定します。
(&(uid=%v)(objectclass=ePerson))
uid 属性が ePerson オブジェクト・クラスの指定された検索パターンと一致するユーザーを検索します。
(&(cn=%v)(objectclass=user))
cn 属性が user オブジェクト・クラスの指定された検索パターンと一致するユーザーを検索します。
(&(sAMAccountName=%v)(objectcategory=user))
sAMAccountName 属性が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。
(&(userPrincipalName=%v)(objectcategory=user))
userPrinciplalName 属性が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。
(&(mail=%v)(objectcategory=user))
mail 属性が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。
(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))
sAMAccountName または userPrincipalName が user オブジェクト・カテゴリーの指定された検索パターンと一致するユーザーを検索します。
一般的に使用されるグループ・フィルターの例
(&cn=%v)(objectCategory=group)
共通名 (cn) に基づいてグループを検索します。
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
グループの共通名 (cn) に基づき、groupOfNames オブジェクト・クラスまたは groupOfUniqueNames オブジェクト・クラスを使用してグループを検索します。
これらの例のように、スタンドアロン LDAP レジストリー検索フィルターは、検索やログインの実行内容に基づいて、LDAP 属性とオブジェクト・クラスで構成されます。
統合リポジトリーの LDAP アダプター構成内に LDAP 属性とオブジェクト・クラスを指定することもできますが、これらは別々に構成されるので、柔軟性が高くなります。 統合リポジトリー内では、ユーザーは PersonAccount エンティティー・タイプとして表され、グループは Group エンティティー・タイプとして表されます。 エンティティー・タイプごとに独自の RDN (相対識別名) プロパティー (rdnProperties) とオブジェクト・クラスを指定できます。 例えば、PersonAccount のデフォルトの RDN プロパティーは uid で、Group のデフォルトの RDN プロパティーは cn です。 デフォルトのオブジェクト・クラス・マッピングは、LDAP サーバー・タイプに応じて異なります。 例えば、Tivoli Directory Server の場合、PersonAccount のオブジェクト・クラスは inetOrgPerson で、Group のオブジェクト・クラスは groupOfNames です。 PersonAccount にログイン・プロパティーがある場合もあります。 ユーザー・レジストリー内のユーザーに関するユーザー・ログインまたは検索が実行される際には、これらのログイン・プロパティーがパターンと突き合わされます。 例えば、ログイン・プロパティーが uid および mail とすると、検索パターンが a* の場合には、uid=a* または mail=a* と一致するすべてのユーザーが戻されます。

検索フィルターのマイグレーションには、正しいログイン・プロパティーの設定、バックエンド・リポジトリー属性の統合リポジトリー・プロパティーへのマッピング、オブジェクト・クラスの設定、オブジェクト・クラスまたはオブジェクト・カテゴリーを使用した検索フィルターの設定、メンバーまたはメンバーシップ属性の設定のうち 1 つ以上のステップが関係します。 統合リポジトリーに関するこのマッピングと構成は、wimconfig.xml ファイルに保持されます。
- ユーザーまたはグループの属性フィルター
- ユーザーまたはグループのオブジェクト・クラスまたはオブジェクト・カテゴリー・フィルター
- 属性フィルターは (cn=%v) です。
- オブジェクト・クラス・フィルターは (objectclass=user) です。
- 属性フィルターは、ユーザーの場合は RDN プロパティー構成かログイン・プロパティー構成にマップされ、グループの場合は RDN プロパティー構成にマップされます。
- オブジェクト・クラス・フィルターは、LDAP アダプターのエンティティー・タイプ構成にマップされます。
- 属性フィルター:
- RDN プロパティー、ログイン・プロパティー、またはその両方の設定 (該当する場合)
- 統合リポジトリー・プロパティーの LDAP 属性へのマッピング (該当する場合)
- オブジェクト・クラス・フィルター:
- エンティティー・タイプのオブジェクト・クラスの設定 (該当する場合)
- エンティティー・タイプの検索フィルターの設定 (該当する場合)
- 例 1 は、検索フィルター (&(cn=%v)(objectclass=ePerson)) を、スタンドアロン IBM Tivoli Directory Server の LDAP リポジトリーから、ID に LDAPTDS を使用する統合リポジトリーの LDAP リポジトリーにマイグレーションするシナリオに適用できます。
- 例 2 は、検索フィルター (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) を、スタンドアロン Microsoft Active Directory の LDAP リポジトリーから、ID に LDAPAD を使用する統合リポジトリーの LDAP リポジトリーにマイグレーションするシナリオに適用できます。sAMAccountName および userPrincipalName 属性が統合リポジトリー内で定義されていないので、これらの属性を統合リポジトリーのプロパティーにマップしなければなりません。