Microsoft Active Directory フォレスト内のグループ・メンバーシップの検索オプション
ユーザーを認証するには、Microsoft Active Directory フォレストでグループ・メンバーシップを検索する必要があります。Microsoft Active Directory フォレスト内のグループ・メンバーシップを検索するには、 いくつかの方法があります。
以下の図は、Microsoft Active Directory フォレストでのグループ・メンバーシップの例を示しています。この図は、 グループ・メンバーシップの検索方法について説明するのに使用されます。
図 1. グループ・メンバーシップの検索。. グループ・メンバーシップの検索方法を示す図。

- オプション 1 では、ネストされたグループを使用しません。
以下のステップは、仮定の組織構造を使用してグループ・メンバーシップを検索するプロセスを説明しています。
- NA employees のグローバル・グループを作成します。
- EU employees のグローバル・グループを作成します。
- Java™ Platform Enterprise Edition (Java EE) のロールを NA employees + EU employees にマップします。このマッピングは、 サブドメインが多過ぎる場合は管理できなくなる可能性があります。
- 参照を使用可能にします。WebSphere® Application Server バージョン 6.1 では、統合リポジトリーを使用します。具体的には、次のようにします。
- フェデレーテッド・レルムを使用します。
- Microsoft Active Directory の最上位レベルのドメイン・コントローラーをリポジトリーに追加します。サブドメイン・コントローラーを追加しないでください。サブドメイン・コントローラーを追加すると、ユーザー ID の検索時に複数の一致が発生します。複数の一致により、ユーザーのログインは失敗します。
- "Support referrals to other LDAP servers" = "follow" を選択します。
- オプション 2 では、ユニバーサル・グループを使用します。
- 個々のユーザーをユニバーサル・グループ Employees に入れます。要件:
- Windows 2003 ネイティブ・ドメイン機能レベルが必要です。
- ユーザー ID は、ユニバーサル・グループに直接含まれている必要があります。
- Java EE のロールを Employees にマップします。
- フォレスト内の任意のグローバル・カタログに接続します。ヒント: このオプションは、 ディレクトリーの検索トラフィックを削減します。WebSphere Application Server は、ディレクトリー・ツリー全体にわたってすべての参照を追跡する必要はありません。 つまり、各ドメイン・コントローラーは、グループ情報をローカルで完全に解決できます。
- 個々のユーザーをユニバーサル・グループ Employees に入れます。
- オプション 3 では、ネストされたグループを使用します。
- ユニバーサル・グループ Employees を作成します。
- グローバル・グループとして NA Employees と EU Employees を作成し、
Employees ユニバーサル・グループのメンバーにします。要件: Windows ネイティブ・ドメイン機能レベル。
- Java JEE のロールを「Employees」にマップします。
- 参照を使用可能にします。WebSphere Application Server バージョン 6.1 の場合は、統合リポジトリーを使用します。具体的には、次のようにします。
- フェデレーテッド・レルムを使用します。
- Active Directory の最上位レベルのドメイン・コントローラーをリポジトリーに追加します。サブドメイン・コントローラーを追加しないでください。追加すると、ユーザー ID の検索時に複数の一致が発生して、 ログインが失敗します。
- "Support referrals to other LDAP servers" = "follow" を選択します。
- ネストされたグループを使用可能にします。
ヒント: このオプションは、 WebSphere Application Server バージョン 6.1 以降を使用する場合に最適な手法です。WebSphere Application Server バージョン 6.1 より前のバージョンでは、 参照は正式にサポートされていません。
要約
以下の表に、Microsoft Active Directory フォレスト内のグループ・メンバーシップの検索方法を要約します。グループ・メンバーシップ | Java EE のロールのマップ先 | バインド先 LDAP | 使用可能 | サポートされる WebSphere Application Server のバージョン | コメント |
---|---|---|---|---|---|
グローバル・グループ | グローバル・グループのコレクション | ポート 389/636 を使用する最上位レベルのドメイン・コントローラー | 参照 |
|
|
ユニバーサル・グループ | ユニバーサル・グループ | ポート 3268 を使用する任意のグローバル・カタログ | すべて | ||
ユニバーサル・グループ内のグローバル・グループ | ユニバーサル・グループ | ポート 389/636 を使用する最上位レベルのドメイン・コントローラー | 参照、ネスティング |
|
Windows 混在ドメイン機能レベル は使用できません |
objectCategory 属性を使用するための構成
統合リポジトリーはデフォルトで、Active Directory のユーザー検索フィルターに対して objectCategory 属性を使用します。統合リポジトリーが、objectCategory 属性を使用するように構成されていることを確認できます。例えば、統合リポジトリーの構成ファイル wimconfig.xml は次の例のように表示されます。<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
ユーザー・フィルターおよびグループ・フィルター (拡張プロパティー) を以下の例のように構成します。
User Filter: (&(sAMAccountName=%v)(objectCategory=user))
Group Filter: (&cn=%v)(objectCategory=group)
以下の指示に従って、
管理コンソールから、objectCategory 属性による検索フィルターを完成させます。
- 「セキュリティー」>「グローバル・セキュリティー」をクリックします。
- 「使用可能なレルム定義 (Available realm definitions)」の下で、「統合リポジトリー (Federated repositories)」を選択した後、「構成 (Configure)」を選択します。 複数のセキュリティー・ドメイン環境の場合、「セキュリティー・ドメイン」>「domain_name」をクリックします。「セキュリティー属性」の下で「ユーザー・レルム」を 展開し、「このドメイン用にカスタマイズする」をクリックします。レルム・タイプとして「統合リポジトリー」を選択し、「構成」をクリックします。
- 「関連項目」の下の「リポジトリーの管理」をクリックします。
- 「フォレスト」>「LDAP エンティティー・タイプ」>「PersonAccount」とクリックします。「一般プロパティー」の下で「検索フィルター」ボックスを見つけます。
- 検索フィルターに以下を入力します。
(objectCategory=user)
