Lightweight Directory Access Protocol ユーザー・レジストリーの構成

Lightweight Directory Access Protocol (LDAP) を使用してユーザー・レジストリーにアクセスするには、有効なユーザー名 (ID) とパスワード、 レジストリー・サーバーのサーバー・ホストとポート、基本識別名 (DN)、 および必要な場合は、バインド DN とバインド・パスワードを知っている必要があります。 ユーザーは、ユーザー・レジストリー内で検索可能な、有効な任意のユーザーを選択できます。ログインするには、管理のロールがあるすべてのユーザー ID を使用できます。

始める前に

注: このトピックでは、 1 つ以上のアプリケーション・サーバー・ログ・ファイルを参照します。推奨される代替案として、分散システムや IBM® i システムの SystemOut.logSystemErr.logtrace.logactivity.log ファイルではなく、High Performance Extensible Logging (HPEL) ログおよびトレース・インフラストラクチャーを使用するようにサーバーを構成できます。また HPEL は、ネイティブ z/OS® ロギング機能と連携させて使用することができます。HPEL を使用する場合、LogViewer コマンド・ライン・ツールを サーバー・プロファイルの bin ディレクトリーから使用して、すべてのログ・ファイルにアクセスし、 情報をトレースできます。HPEL の使用について詳しくは、HPEL を使用してのアプリケーションの トラブルシューティングに関する情報を参照してください。

セキュリティー上の目的から 2 つの異なる ID、すなわち、管理機能用のユーザー ID とサーバー ID が使用されます。管理セキュリティーが有効の場合、管理機能用のユーザー ID とパスワードは、レジストリーで認証されます。認証に失敗した場合は、管理コンソールへのアクセスは許可されず、wsadmin スクリプトを含むタスクは完了しません。 期限切れでない ID とパスワード、または頻繁に変更されている ID とパスワードを選択してください。レジストリー内でユーザー ID またはパスワードを変更する必要がある場合は、 必ず、すべてのアプリケーション・サーバーが始動して、稼働しているときに変更を行うようにしてください。 レジストリー内の変更を行う場合は、このタスクを始める前に、 スタンドアロン Lightweight Directory Access Protocol レジストリー (LDAP) の項目を参照してください。

サーバー ID は内部プロセス通信のために使用されます。 このタスクの一環として、LDAP リポジトリーで、サーバー ID を、デフォルトの自動的に生成された ID からサーバー ID およびパスワードに変更することができます。

手順

  1. 管理コンソールで、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
  3. Primary administrative user name」フィールドに、有効なユーザー名を入力します。 通常、ユーザー名は、ユーザーのショート・ネームで、「拡張 LDAP 設定」パネルの「ユーザー・フィルター」で定義されます。
  4. 内部プロセス通信に使用されるユーザー ID を指定するかどうかを判断します。 バージョン 5.1 または 6.x のノードを含むセルでは、 アクティブ・ユーザー・リポジトリーで定義される、サーバー・ユーザー ID が必要になります。デフォルトで、「サーバー ID の自動生成」オプションが使用可能なため、アプリケーション・サーバーはサーバー ID を生成します。ただし、「リポジトリーに保管されたサーバー ID」オプションを選択して、サーバー ID とそれに関連したパスワードの両方を指定することもできます。
  5. タイプ」リストから使用する LDAP サーバーのタイプを選択します。 LDAP サーバーのタイプによって、WebSphere® Application Server で使用されるデフォルト・フィルターが決まります。これらのデフォルト・フィルターにより「タイプ」フィールドが「カスタム」に変更されると、 カスタム・フィルターが使用されていることがわかります。これは、「拡張 LDAP 設定」パネルで 「OK」または「適用」をクリックすると、起こります。必要に応じて、リストから「カスタム」タイプを選択し、ユーザーおよびグループのフィルターが別の LDAP サーバーを使用するように変更することができます。

    IBM Tivoli® Directory Server のユーザーは、ディレクトリー・タイプ として IBM Tivoli Directory Server を選択することができます。パフォーマンスを向上させるために、IBM Tivoli Directory Server ディレクトリー・タイプを使用してください。

    重要: IBM SecureWay Directory Server サーバーは、WebSphere Application Server バージョン 6.1 で、IBM Tivoli Directory Server に名前が変更されました。
  6. ホスト」フィールドに、LDAP サーバーの完全修飾ホスト名を入力します。 IP アドレスまたは ドメイン・ネーム・システム (DNS) 名を入力します。
  7. ポート」フィールドに、LDAP サーバーのポート番号を入力します。 WebSphere Application Server セルでは、ホスト名とポート番号でこの LDAP サーバーのレルムを表します。 したがって、別々のセルのサーバー同士が Lightweight Third Party Authentication (LTPA) トークンを使用して相互通信を行う場合は、 すべてのセルでこれらのレルムが完全に一致しなければなりません。

    デフォルト値は 389 です。複数の WebSphere Application Servers をインストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、あるいは WebSphere Application Server と以前のバージョンの WebSphere Application Server を相互運用する場合は、すべての構成でポート番号が一致していることが重要です。 例えば、LDAP ポートをバージョン 5.x 構成で明示的に 389 と指定し、WebSphere Application Server バージョン 6.0.x とバージョン 5.x サーバーを相互運用する場合は、バージョン 6.0.x のサーバーでポート番号 389 が明示的に指定されていることを確認します。

    com.ibm.websphere.security.ldap.logicRealm カスタム・プロパティーを設定して、トークンに入れられるレルム名の値を変更することができます。詳しくは、『セキュリティー・カスタム・プロパティー』のトピックを参照してください。

  8. 基本識別名」フィールドに、基本識別名 (DN) を入力します。 基本 DN は、この LDAP ディレクトリー・サーバーの検索の開始点を表します。例えば、 cn=John Doe, ou=Rochester, o=IBM, c=US の DN を 持つユーザーの場合、c=us のサフィックスを想定して、以下のオプションのいずれかのように基本 DN を指定します。
    • ou=Rochester, o=IBM, c=us
    • o=IBM, c=us
    • c=us
    許可を目的として、このフィールドではデフォルトで大/小文字の区別が行われます。ディレクトリー・サーバーの 大/小文字の字体を一致させてください。例えば、別のセルまたは Lotus® Domino からトークンを受け取った場合、サーバー内の基本 DN は、 別のセルまたは Domino から受け取った基本 DN と正確に一致する必要があります。許可の際に大/小文字の区別を考慮する必要がない場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にしてください。

    WebSphere Application Server では、識別名は Lightweight Directory Access Protocol (LDAP) 仕様に従って正規化されます。 正規化とは、基本識別名のコンマおよび等号の前後にあるスペースを除去することです。 正規化されていない基本識別名は、例えば o = ibm, c = us または o=ibm, c=us のようになっています。正規化されている基本識別名は、例えば o=ibm,c=us のようになっています。

    WebSphere Application Server バージョン 6.0 とそれ以降のバージョンを相互運用するには、「基本識別名」フィールドに、正規化された基本識別名を入力する必要があります。WebSphere Application Server バージョン 6.0 以降では、正規化は実行時に自動的に行われます。

    このフィールドは、Lotus Domino Directory 以外のすべての LDAP ディレクトリーで、必須指定です。「基本識別名」フィールドは、Domino サーバーではオプションです。

  9. オプション: バインド識別名」フィールドにバインド識別名を入力します。 LDAP サーバー上で 匿名バインドが実行できない場合は、ユーザーおよびグループ情報を入手するのにバインド DN が必要です。 LDAP サーバーが匿名バインドを使用するようにセットアップされている場合は、このフィールドはブランクのままにしておいてください。 名前が指定されていない場合、アプリケーション・サーバーは匿名でバインドされます。識別名の例については、「基本識別名」フィールドの説明を参照してください。
  10. オプション: バインド・パスワード」フィールドにバインド DN に対応するパスワードを入力します。
  11. オプション: 「Search time out」値を変更します。 このタイムアウト値は、LDAP サーバーが製品クライアントに応答を送るまで待機する最大時間で、これを超えると要求を停止します。デフォルトは、120 秒です。
  12. 接続の再使用」オプションが選択されているかを確認します。 このオプションは、サーバーが LDAP 接続を再使用することを指定します。 このオプションをクリアするのは、要求を複数の LDAP サーバーに送信するためにルーターが使用されているとき、 およびルーターがアフィニティーをサポートしないとき、といったごくまれな状況に限られます。 それ以外の場合はすべて、このオプションを選択状態にしておいてください。
  13. オプション: 許可検査で大/小文字を区別しない」オプションが使用可能になっていることを確認します。 このオプションを使用可能にすると、許可検査で大/小文字が区別されません。 通常、許可検査ではユーザーの完全識別名 (これは LDAP サーバー内で 固有のものであり、大/小文字が区別されます) の検査が行われます。ただし、IBM Directory Server または Sun ONE (旧 iPlanet) Directory Server LDAP サーバーのいずれかを使用する場合は、LDAP サーバーから取得されるグループ情報の大/小文字の区別が一貫性を欠くため、このオプションを使用可能にする必要があります。 この不整合は、許可検査にのみ影響を与えます。それ以外の場合には、このフィールドはオプションであり、 許可検査で大/小文字の区別が必要な場合に使用可能にすることができます。 例えば、証明書を使用しているときに、証明書の内容の大/小文字が LDAP サーバーのエントリーと一致しない場合に、 このオプションを使用します。

    また、この製品と Lotus Domino 間でシングル・サインオン (SSO) を使用している場合は、「許可検査で大/小文字を区別しない」オプションを有効にすることができます。 デフォルトは使用可能です。

  14. オプション: LDAP サーバーで Secure Sockets Layer 通信を使用する場合は、 「SSL 使用可能」オプションを選択します。
    重要: このステップは、LDAP の署名者証明書が後で使用されるトラストストアに最初に追加されている場合にのみ成功します。LDAP からの署名者証明書がトラストストアに追加されていない場合、以下のようになります。
    • 管理コンソールによってエラーが発行されます。
    • デプロイメント・マネージャー (DMGR) の systemout.log に、トラストストアに署名者証明書を追加する必要があることを示す CWPKI0022E: SSL HANDSHAKE FAILURE メッセージが表示されます。

    このステップでエラー・フリー操作を実現するには、最初に LDAP の署名者証明書をファイルに抽出し、このファイルを WebSphereApplication Server マシンに送信する必要があります。その後、証明書を LDAP 用に定義されるトラストストアに追加できます。この方法により、このステップの残りのアクションも成功します。

    SSL 使用可能」オプションを 選択する場合は、「中央管理対象」または「特定 SSL 別名の使用」オプションを選択することができます。
    中央管理対象
    あるロケーション内のセル、ノード、サーバー、またはクラスターなどの特定の有効範囲に SSL 構成を指定できるようになります。 「中央管理対象」オプションを使用するには、エンドポイントの特定のセットに対して SSL 構成を指定する必要があります。 「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」パネルには、SSL プロトコルを使用するすべてのインバウンドおよびアウトバウンドのエンドポイントが表示されます。そのパネルの「インバウンド」または「アウトバウンド」セクションを展開し、ノードの名前をクリックすると、そのノード上の各エンドポイントで使用される SSL 構成を指定できます。 LDAP レジストリーの場合は、LDAP に SSL 構成を指定することにより、継承された SSL 構成をオーバーライドできます。 LDAP に SSL 構成を指定するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」> 「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」をクリックします。
    2. アウトバウンド」>「cell_name」>「ノード」>「node_name」> 「サーバー」>「server_name」>「LDAP」と展開します。
    特定 SSL 別名の使用
    メニューにある SSL 構成の 1 つを選択する場合は、「特定 SSL 別名の使用」オプションを選択します。
    この構成は、LDAP で SSL が使用可能になっている場合にのみ使用されます。デフォルトは、「DefaultSSLSettings」です。既存の構成の名前をクリックしてその構成を変更するか、 または以下のステップを実行して新規 SSL 構成を作成します。
    1. セキュリティー」>「SSL 証明書および鍵管理」をクリックします。
    2. 「構成設定」の下の「エンドポイント・セキュリティー構成の管理」をクリックします。
    3. セル、ノード、サーバー、またはクラスターなどの選択された有効範囲の Secure Socket Layer (SSL) configuration_name を選択します。
    4. 「関連項目」の下の「SSL 構成」をクリックします。
    5. 「新規」をクリックします。
  15. 「グローバル・セキュリティー」パネルに戻るまで「OK」または「適用」をクリックし、「グローバル・セキュリティー」ページで「保存」をクリックして、LDAP 構成を確実に保存します。
  16. 「使用可能なレルム定義」「スタンドアロン LDAP レジストリー」に設定されているかどうか確認します。設定されていない場合は、プルダウンからそれを選択し、「現在として設定」し、「適用」を押します。

タスクの結果

このステップのセットは、LDAP ユーザー・レジストリーのセットアップに必要です。このステップは、WebSphere Application Server におけるセキュリティー使用可能化の一環として必要です。

次のタスク

  1. セキュリティーを使用可能にする場合は、レルムのセキュリティーの使用可能化に示すように残りのステップを完了します。
  2. [z/OS]LDAP レジストリーで System Authorization Facility (SAF) 許可を使用する場合の詳細情報は、System Authorization Facility (SAF) のオペレーティング・システムおよびアプリケーション・レベルに関する考慮事項を参照してください。
  3. このパネルの変更内容を有効にするには、 すべての製品サーバー (デプロイメント・マネージャー、ノード、およびアプリケーション・サーバー) を保存し、 停止してから再始動します。サーバーが問題なく立ち上がったら、セットアップは正しく行われたことになります。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldap
ファイル名:tsec_ldap.html