拡張 LDAP ユーザー・レジストリー設定

ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリーに置かれている場合に、 このページを使用して拡張 LDAP ユーザー・レジストリー設定を構成します。

この管理ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。
  3. 「追加プロパティー」の下で、「拡張 LDAP ユーザー・レジストリー設定」をクリックします。

すべてのユーザーおよびグループ関連フィルターのデフォルト値は、 該当するフィールドで既に指定されています。 ユーザーの要件によっては、これらの値を変更できます。 これらのデフォルト値は、「スタンドアロン LDAP レジストリーの設定」パネルで選択された LDAP サーバーのタイプに基づいています。 このタイプが変更された場合 (例えば、Netscape から Secureway への変更)、デフォルトのフィルターは自動的に変更されます。デフォルトのフィルター値が変更されると、 LDAP サーバー・タイプは、カスタム・フィルターが使用されていることを示す「カスタム」に 変更になります。セキュリティーが使用可能で、これらのプロパティーのいずれかが変更されている場合は、 「グローバル・セキュリティー」パネルに進み、「適用」または「OK」をクリックして変更内容を有効にしてください。

注: 初期のプロファイル作成では、WebSphere® Application Server がファイル・ベースのレジストリーで統合リポジトリーのセキュリティー・レジストリー・オプションを使用するように構成します。 このセキュリティー・レジストリー構成は、スタンドアロン LDAP レジストリーを含め他のオプションを使用するよう変更できます。ユーザー・アカウント・リポジトリー構成で統合リポジトリー・オプションからスタンドアロン LDAP レジストリー・オプションに変更する代わりに、LDAP 構成を備えた統合リポジトリー・オプションを利用することを検討してください。 統合リポジトリーには、広範囲の機能 (1 つ以上のユーザー・レジストリーを保持する機能など) が用意されています。 ファイル・ベースのレジストリーおよびカスタム・レジストリーに加えて、1 つ以上の LDAP の統合がサポートされます。 さらに、改善されたフェイルオーバー機能や、堅固な一連のメンバー (ユーザーおよびグループ) 管理機能もあります。 WebSphere Portal 6.1 以降、および Process Server 6.1 以降の新しいメンバー管理機能を使用する場合は、統合リポジトリーが必要です。 LDAP 参照の追跡には、統合リポジトリーを使用する必要があります。LDAP 参照の追跡は、いくつかの LDAP サーバー環境 (Microsoft Active Directory など) では一般的な要件です。

スタンドアロン LDAP レジストリーから統合リポジトリーにマイグレーションすることをお勧めします。WebSphere Portal 6.1 以降、またはWebSphere Process Server 6.1 以降に移行する場合、それらのアップグレードを行う前に、統合リポジトリーにマイグレーションする必要があります。 統合リポジトリーとその機能について詳しくは、『統合リポジトリー』トピックを参照してください。 統合リポジトリーへのマイグレーション方法について詳しくは、『スタンドアロン LDAP リポジトリーを統合リポジトリーの LDAP リポジトリー構成にマイグレーションする』トピックを参照してください。

ユーザー・フィルター

ユーザーのユーザー・レジストリーを検索する LDAP ユーザー・フィルターを指定します。

通常、このオプションは、セキュリティー・ロールをユーザーに割り当てるために使用 され、ディレクトリー・サービスでのユーザー検索に使用するプロパティーを指定 します。例えば、ユーザー ID を基にして ユーザーを検索するには、(&(uid=%v)(objectclass=inetOrgPerson)) と指定します。 この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

通知
データ型: ストリング

グループ・フィルター

グループのユーザー・レジストリーを検索する LDAP グループ・フィルターを指定します。

通常、このオプションは、セキュリティー・ロールをグループに割り当てるために使用され、 ディレクトリー・サービスでのグループ検索に使用するプロパティーを 指定します。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

通知
データ型: ストリング

ユーザー ID マップ

LDAP エントリーにユーザーのショート・ネームをマップする LDAP フィルターを指定します。

ユーザーが表示されるときにユーザーを表す情報部分を指定します。 例えば、オブジェクト・クラス = inetOrgPerson タイプのエントリーを ID 別に表示する場合は、inetOrgPerson:uid を指定します。このフィールドには、セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。

通知
データ型: ストリング

グループ ID マップ

LDAP エントリーにグループのショート・ネームをマップする LDAP フィルターを指定します。

グループが表示されるときにグループを表す情報部分を指定します。 例えば、グループを名前別に表示するには、*:cn を指定します。 アスタリスク (*) はワイルドカード文字であり、 この場合、あらゆるオブジェクト・クラスを検索します。このフィールドには、セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。

通知
データ型: ストリング

グループ・メンバー ID マップ

ユーザーとグループの関係を識別する LDAP フィルターを指定します。

ディレクトリー・タイプ SecureWay および Lotus Domino の場合、このフィールドには、 セミコロン (;) で区切られた「オブジェクト・クラス:プロパティー」の複数のペアが入ります。 「オブジェクト・クラス:プロパティー」のペアでは、オブジェクト・クラス値はグループ・フィルターで定義される オブジェクト・クラスと同じであり、プロパティーはメンバー属性です。オブジェクト・クラス値が グループ・フィルターのオブジェクト・クラスに一致しない場合、グループがセキュリティー・ロールに マップされると許可が失敗することがあります。この構文の詳細については、LDAP ディレクトリー・サービスの資料を参照してください。

IBM® Directory Server、Sun ONE、および Active Directory の場合、このフィールドには、セミコロン (;) で区切られた複数の「グループ属性:メンバー属性」ペアが入ります。これらのペアは、所定ユーザーが所有するすべてのグループ属性を列挙して、 ユーザーのグループ・メンバーシップを検索する際に使用します。例えば、属性ペア memberof:member は Active Directory が使用し、ibm-allGroup:member は IBM Directory Server が使用します。 また、このフィールドでは、オブジェクト・クラスのどのプロパティーが、 そのオブジェクト・クラスで表されるグループに属するメンバーのリストを保管するかを指定します。サポートされる LDAP ディレクトリー・サーバーについては、『サポートされるディレクトリーサービス』を参照してください。

通知
データ型: ストリング

Kerberos ユーザー・フィルター

Kerberos ユーザー・フィルター値を指定します。この値は、Kerberos が、優先認証メカニズムの 1 つとして構成され、アクティブである場合に変更できます。

通知
データ型: ストリング

証明書マップ・モード

X.509 証明書を LDAP ディレクトリー にマップする際、EXACT_DNCERTIFICATE_FILTER のどちらを使用するかを指定します。指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。

通知
データ型: ストリング

証明書フィルター

LDAP フィルターのフィルター証明書マッピング・プロパティーを指定します。 フィルターは、クライアント証明書内の属性を LDAP レジストリー内のエントリーにマップする際に使用されます。

実行時に複数の LDAP エントリーがフィルターの指定に一致すると、 結果があいまい一致となるため、認証は失敗します。 このフィルターの構文または 構造は、(&(uid=${SubjectCN})(objectclass=inetOrgPerson)) です。 フィルター仕様には、LDAP サーバーで使用するように構成されているスキーマに依存する LDAP 属性が含まれています。 また、フィルター仕様には、クライアント証明書にあるパブリック属性の 1 つが含まれています。ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。 以下の証明書属性値を使用することができます。ストリングの大/小文字の区別は重要です。
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    ここで、<xx> は、発行者識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。 例えば、発行者共通名に ${IssuerCN} を使用できます。

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    ここで、<xx> は、は、サブジェクト識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。例えば、サブジェクト共通名に ${SubjectCN} を使用できます。

  • ${Version}
トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): サブジェクト代替名 (SAN) は証明書フィルター項目としてサポートされません。gotcha
通知
データ型: ストリング

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_advldap
ファイル名:usec_advldap.html