統合リポジトリー 構成でグループ定義設定を構成するには、
次の作業を実行します。
始める前に
グループ属性定義設定は、Lightweight Directory Access Protocol (LDAP)
リポジトリーにのみ適用されるため、最初に LDAP リポジトリーを構成する必要があります。詳しくは、
統合リポジトリー 構成におけるリポジトリーの管理を参照してください。
手順
- 管理コンソールで、「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「ユーザー・アカウント・リポジトリー」において、「使用可能なレルム定義」フィールドから「統合リポジトリー」を選択し、「構成」をクリックします。複数のセキュリティー・ドメイン環境内の特定のドメインを構成するには、「セキュリティー・ドメイン」>「domain_name」をクリックします。「セキュリティー属性」の下で「ユーザー・レルム」を
展開し、「このドメイン用にカスタマイズする」をクリックします。レルム・タイプとして「統合リポジトリー」を選択して、「構成」をクリックします。
- 「関連項目」の下の「リポジトリーの管理」をクリックします。
- 「追加」>「LDAP リポジトリー」をクリックして新規の外部リポジトリーを指定するか、事前構成されている外部リポジトリーを選択します。
注: 「追加」をクリックして新規の外部リポジトリーを指定する場合は、次のステップに進む前に、まず必要なフィールドに入力して「適用」をクリックする必要があります。
- 「追加プロパティー」の下の「Group attribute definition」をクリックします。
- 「Name of group membership attribute」フィールドに、
グループ・メンバーシップ属性の名前を指定します。 各 LDAP リポジトリーに対し、メンバーシップ属性
は 1 つしか定義できません。
各 LDAP エントリーは、このエントリーが所属する
グループを示すこの属性を持つ必要があります。例えば、memberOf は Active Directory で使用されるメンバーシップ属性の名前です。グループ・メンバーシップ属性には、このエントリーが所属するグループ
を参照する値が含まれています。UserA が GroupA に所属する場合は、
UserA の memberOf 属性の値には、GroupA の識別名が含まれる必要があります。
LDAP サーバーがグループ・メンバーシップ属性をサポートしない場合は、
この属性は指定しません。LDAP リポジトリーは、パフォーマンスが遅くなる可能性がありますが、グループ・メンバー属性を検索することによって、グループを検索することができます。
- グループ・メンバーシップ属性の有効範囲を選択します。 デフォルト値は Direct です。
- Direct
- メンバーシップ属性はダイレクト・グループのみを含みます。ダイレクト・グループとは、メンバーを含むグループのことです。例えば、Group1 が Group2 を含み、Group2 が User1 を含む場合は、Group2 は User1 のダイレクト・グループですが、Group1 は User1 のダイレクト・グループではありません。
- ネスト
- メンバーシップ属性はダイレクト・グループとネストされたグループの両方を含みます。
- すべて
- メンバーシップ属性は、ダイレクト・グループ、ネストされたグループ、および動的メンバーを含みます。
タスクの結果
以上のステップを完了すると、LDAP リポジトリーで、
グループ属性定義設定が構成されます。
次のタスク
- 統合リポジトリーの構成が完了したら、「セキュリティー」>「グローバル・セキュリティー」とクリックして、「グローバル・セキュリティー」パネルに戻ります。統合リポジトリーが、「現在のレルム定義 (Current® realm definition)」フィールドに示されていることを確認します。統合リポジトリー
が示されていない場合は、「使用可能なレルム定義」フィールドから「統合リポジトリー」
を選択し、「現在値として設定」をクリックします。統合リポジトリー構成を
検査するために、「グローバル・セキュリティー」パネルで「適用」をクリックします。統合リポジトリーが「現在のレルム定義 (Current realm definition)」フィールドに示されていない場合、ご使用の統合リポジトリー構成は WebSphere® Application Server によって使用されません。
- セキュリティーを使用可能にする場合は、レルムのセキュリティーの使用可能化に示すように残りのステップを完了します。最終ステップとして、「グローバル・セキュリティー」パネルで「適用」をクリックすることにより、このセットアップを検証します。
- このパネルの変更内容を有効にするには、
すべての製品サーバー (デプロイメント・マネージャー、ノード、およびアプリケーション・サーバー) を保存し、
停止してから再始動します。サーバーが問題なく始動したら、セットアップは正しく行われたことになります。