Microsoft Active Directory フォレストでの LDAP レジストリーを使用したユーザーの認証

複数のリポジトリー間や Microsoft Active Directory フォレストなどの分散 Lightweight Directory Access Protocol (LDAP) リポジトリー間でのユーザーの認証は容易ではありません。ユーザー・レジストリー全体の検索で、実行時に複数の一致があると、結果としてあいまい一致となるため、認証は失敗します。

始める前に

複数の任意の Microsoft Active Directory ドメイン環境で、WebSphere® Application Server 管理者は、Microsoft Active Directory での固有のデフォルト ID は ユーザーの sAMAccountName 属性であることを考慮する必要があります。

このタスクについて

単一ドメイン内ではユーザー ID の固有性が保証されます。しかし、ツリーまたはフォレスト全体での固有性は保証されません。例えば、 ユーザー ID smith がフォレストおよび各サブドメインに追加された場合を考えてみます。 sAMAccountName=smith の検索で、3 つの一致が返されたとします。 WebSphere Application Server は、レジストリー内に一致する可能性のあるものが複数ある場合、このユーザーを認証しません。
図 1. フォレスト検索戦略。. フォレスト全体での非固有 sAMAccountName の検索例。フォレスト検索戦略

ユーザー・フィルターを、sAMAccountName 属性ではなく、(フォレスト全体で固有である) ユーザーの userPrincipalName 属性に基づくように変更することによって、 この状態を緩和することができます。しかし、この場合、ユーザーは、userPrincipalName を使用してログインすることを認識している必要がありますが、認識していない可能性もあります。

LDAP ユーザー・レジストリーにユーザー・フィルターを設定する具体的な手順は、LDAP レジストリーのタイプによって異なります。 以下の例は、スタンドアロン LDAP レジストリーの手順と統合リポジトリー ・レジストリー の手順を示しています。

手順

  1. スタンドアロン LDAP レジストリーでのユーザー・フィルターの設定: 拡張 Lightweight Access Protocol (LDAP) ユーザー・レジストリー設定ページで、 sAMAccountName 値の代わりに userPrincipalName を検索するためのユーザー・フィルターを設定することができます。
    以下に例を示します。
    (&(objectClass=user)(userPrincipalName=%w))
  2. 統合リポジトリー・レジストリーでのユーザー・フィルターの設定: LDAP リポジトリー内のログイン・プロパティーを uid;cn に変更することができます。 以下に、管理コンソールを使用して変更する例を示します。
    1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
    2. 「使用可能なレルム定義 (Available realm definitions)」の下で、「統合リポジトリー (Federated repositories)」を選択した後、「構成 (Configure)」を選択します。 複数のセキュリティー・ドメイン環境の場合、「セキュリティー・ドメイン」>「domain_nameをクリックします。「セキュリティー属性」の下で「ユーザー・レルム」を 展開し、「このドメイン用にカスタマイズする」をクリックします。「レルム・タイプ」として「統合リポジトリー」を選択し、「構成」をクリックします。
    3. 「関連項目」の下の「リポジトリーの管理」をクリックします。
    4. 「追加」>「LDAP リポジトリー」とクリックします。
    5. 「一般プロパティー」で、以下の情報を追加します。
      リポジトリー ID
      フォレスト
      ディレクトリー・タイプ
      Microsoft Windows Active Directory
      プライマリー・ホスト名
      forest.acme.net
      Port
      389
      1 次サーバーが使用不可の場合に使用されるフェイルオーバー・サーバー
      なし
      バインド識別名
      cn=wasbind、CN=Users、DC=ib
      バインド・パスワード
      ********
      ログイン・プロパティー
      uid;cn
  3. OK」および「保存」をクリックして、変更をマスター構成に保存します。
  4. 「LDAP リポジトリー構成」ページの「追加プロパティー」で、「LDAP 属性」をクリックします。
  5. 「追加」>「サポートされる」をクリックします。
  6. 「名前」フィールドに、userPrincipalName と入力します。
  7. プロパティー名」フィールドに、cn と入力します。
  8. エンティティー・タイプ」フィールドに、PersonAccount と入力します。
  9. OK」および「保存」をクリックして、変更をマスター構成に保存します。
  10. デプロイメント・マネージャー構成で、 {WAS_HOME}¥profiles¥{profileName}¥config¥cells¥{cellName}¥wim¥config¥wimconfig.xml または profile_root/conf/cells/<cell>/wim/config/wimconfig.xml ファイル を見つけます。
  11. wimconfig.xml ファイルを編集します。
    1. ファイル内で、<config:attributeConfiguration> 属性を検索します。
    2. 以下の行を追加します。
      <config:attributes name="userPrincipalName" propertyName="cn">
      <config:entityTypes>PersonAccount</config:entityTypes>
      </config:attributes>
    注: wimconfig.xml ファイルは管理コンソールの処理によって上書きされます。 この「3」行の wimconfig.xml ファイルへの追加は失われることがあります。
  12. wimconfig.xml ファイルを保存します。
  13. 構成内のすべてのノードで、profile_root/bin/syncNode.bat または profile_root/syncNode.bar/sh スクリプトを実行します。

タスクの結果

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): これらのシナリオのどれを選択するにしても、適切な Microsoft Active Directory 情報を参照して、これらのシナリオが構成計画に及ぼす可能性を十分に理解してください。gotcha

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad_filter
ファイル名:tsec_was_ad_filter.html