統合リポジトリー 構成における Lightweight Directory Access Protocol の構成

統合リポジトリー 構成で Lightweight Directory Access Protocol (LDAP) 設定を構成するには、このトピックに従います。

このタスクについて

この時点で、管理コンソールの LDAP リポジトリー構成ページが表示されています。

手順

  1. 「Repository identifier」フィールドに、リポジトリーの固有 ID を入力します。 この ID はセル内のリポジトリー (LDAP1 など) を一意に識別します。
  2. ディレクトリー・タイプ・リストから、使用する LDAP サーバーを選択します。 LDAP サーバーのタイプによって、WebSphere® Application Server で使用されるデフォルト・フィルターが決まります。

    IBM® Tivoli® Directory Server のユーザーは、ディレクトリー・タイプ として IBM Tivoli Directory Server または SecureWay を選択することができます。 パフォーマンスを向上させるために、IBM Tivoli Directory Server ディレクトリー・タイプを使用してください。 サポートされる LDAP サーバーのリストについては、 特定のディレクトリー・サーバーの LDAP サーバーとしての使用を参照してください。

  3. 「Primary host name」フィールドに、プライマリー LDAP サーバーの 完全修飾ホスト名を入力します。 IP アドレスまたは ドメイン・ネーム・システム (DNS) 名を入力します。
  4. 「ポート」フィールドに LDAP ディレクトリーのサーバー・ポートを入力します。 混合バージョン・ノード・セルでは、ホスト名とポート番号でこの LDAP サーバー のレルムを表します。別々のセルのサーバー同士が Lightweight Third Party Authentication (LTPA) トークンを使用して相互通信を行う場合は、すべてのセルでこれらのレルムが完全に 一致しなければなりません。

    デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。

    複数の WebSphere Application Server を インストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、 あるいは WebSphere Application Server を以前のバージョンの WebSphere Application Server と相互運用する場合は、すべての構成でポート番号が一致していることが重要です。 例えば、バージョン 5.x または 6.0.x 構成で LDAP ポートを 明示的に 389 と指定し、WebSphere Application Server バージョン 6.1 とバージョン 5.x または 6.0.x のサーバー を相互運用する場合は、バージョン 6.1 のサーバーでポート番号 389 が明示的に指定されていることを確認します。

  5. オプション: 「Failover host name」フィールドに、 フェイルオーバー LDAP サーバーのホスト名を入力します。 プライマリー・ディレクトリー・サーバーが使用不可になった際に使用する、 セカンダリー・ディレクトリー・サーバーを指定できます。セカンダリー・ディレクトリー・サーバー への切り替えが終わると、LDAP リポジトリーは、15 分ごとにプライマリー・ディレクトリー・サーバー への再接続を試みます。
  6. オプション: 「ポート」フィールドにフェイルオーバー LDAP サーバーのポートを入力し、「追加」をクリックします。 デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。
  7. オプション: referral のタイプを選択します。 参照は、クライアント要求を別の LDAP サーバーに転送するときに 使用されるエンティティーです。参照には、他のオブジェクトの名前と位置が入っています。 参照は、クライアントが要求した情報が、別のロケーション (おそらく、別のサーバーまたは複数のサーバー) にあることを示すために、サーバーによって送信されます。デフォルト値は ignore です。
    ignore
    参照は無視されます。
    follow
    参照は自動的に行われます。
  8. オプション: リポジトリー変更トラッキングのサポートのタイプを指定します。プロファイル・マネージャーは、対応するアダプターに要求を渡す前にこの値を参照します。値が none の場合、変更済みエンティティーを取得するためにこのリポジトリーが呼び出されることはありません。
    none
    このリポジトリーには変更トラッキングのサポートはないことを指定します。
    ネイティブ (native)
    変更されたエンティティーを戻すために、仮想メンバー・マネージャーによってリポジトリーのネイティブの変更トラッキング・メカニズムが使用されることを指定します。
  9. オプション: データの名前と値の任意のペアをカスタム・プロパティーとして指定します。名前はプロパティー・キー、値は内部システム構成プロパティーの設定に使用できるストリング値です。新規プロパティーを定義すると、管理コンソールで提供されるもの以外の設定を構成することができます。
  10. オプション: 「バインド識別名」フィールドに、cn=root などの バインド識別名を入力します。 バインド DN が必要なのは、 LDAP サーバー上で匿名バインドを実行してユーザーおよびグループ情報を入手できない場合か、 書き込み操作の場合です。ほとんどの場合、バインド DN とバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。 LDAP サーバーが匿名バインドを使用するようにセットアップされている場合は、このフィールドはブランクのままにしておいてください。 名前が指定されていない場合、アプリケーション・サーバーは匿名でバインドされます。
    注: LDAP 照会を作成したり参照したりするためには、LDAP クライアントは、LDAP 属性の値 (ユーザー情報、グループ情報など) を検索して読み取る権限のあるアカウントの識別名 (DN) を使用して、LDAP サーバーにバインドしなければなりません。 LDAP 管理者は、読み取りアクセスの特権がバインド DN で指定されていることを確認してください。 読み取りアクセス特権では、 基本 DN のサブツリーへのアクセスが許可され、ユーザーとグループ情報の検索が成功することが保証されます。

    ディレクトリー・サーバーの各ディレクトリー・エントリーでは、運用属性が提供されます (例えば、IBM Directory Server は ibm-entryUuid を運用属性として使用します)。 この属性の値はエントリーの追加時にディレクトリー・サーバーによって自動的に選択されるユニバーサル固有 ID (UUID) です。固有であることが想定されているため、他のエントリーの名前が同じ場合でも異なっている場合でも、この同じ値を持つことはできません。 ディレクトリー・クライアントは、この属性を使用して、識別名で識別されるオブジェクトを識別したり、名前変更後にオブジェクトの場所を探索したりする場合があります。 バインドのクレデンシャルに、この属性の読み取り権限があることを確認してください。

  11. オプション: 「バインド・パスワード」フィールドに、 バインド DN に対応するパスワードを入力します。
  12. オプション: 「ログイン・プロパティー」フィールドに、 WebSphere Application Server へのログインに使用するプロパティー名を入力します。 このフィールドには、セミコロン (;) で区切られた複数のログイン・プロパティーが入ります。 例えば、uid;mail のようになります。
    注: ログイン・プロパティーで大/小文字を区別する場合は、attributeCache を使用不可にしてください。 あるいは、識別名エレメントの一部ではないログイン・プロパティー名を定義するようにすることもできます。

    ログインの際に、 すべてのログイン・プロパティーが検索されます。複数のエントリーが検出された場合、またはエントリーが検出されない場合は、例外がスローされます。例えば、 ログイン・プロパティーを uid;mail、ログイン ID を Bob と指定すると、 検索フィルターは uid=Bob または mail=Bob を検索します。検索で単一のエントリーが 戻される場合は、認証は先に進みます。そうでない場合は、例外がスローされます。

    サポートされる構成 サポートされる構成: 複数のログイン・プロパティーを定義した場合、最初のログイン・プロパティーはプログラムで統合リポジトリーの principalName プロパティーにマッピングされます。例えば、 uid;mail をログイン・プロパティーとして設定する場合、 LDAP 属性の uid 値は、統合リポジトリー principalName プロパティーに マッピングされます。複数のログイン・プロパティーを定義する場合、ログイン後に、 principalName プロパティーの値として最初のログイン・プロパティーが 戻されます。例えば、joe@yourco.com を principalName 値として渡し、ログイン・プロパティーが uid;mail として構成されている場合、principalName は joe として戻されます。sptcfg
  13. オプション: Kerberos プリンシパル名の LDAP 属性を指定します。Kerberos が構成されていて、それがアクティブな認証メカニズムまたは優先認証メカニズムの 1 つである場合にのみ、このフィールドは使用可能であり、変更可能です。
  14. オプション: 「証明書マッピング」フィールドで証明書マップ・モードを選択します。 リポジトリーとして LDAP が選択されている場合は、X.590 証明書をユーザー認証に使用できます。「証明書マッピング」フィールドは、X.509 証明書を EXACT_DN または CERTIFICATE_FILTER によって LDAP ディレクトリー・ユーザーにマップするかどうかを示すために使用されます。 EXACT_DN を選択する場合には、証明書の DN は、大/小文字やスペースも含めて LDAP サーバー内のユーザー・エントリーと完全に一致しなければなりません。
  15. 「証明書マッピング」フィールドで「CERTIFICATE_FILTER」を選択した場合は、クライアント証明書のマッピング属性を LDAP 内のエントリーにマップするときに使用する LDAP フィルターを指定します。

    実行時に複数の LDAP エントリーがフィルターの指定に一致すると、結果があいまい一致となるので認証は失敗します。 このフィルターの構文または構造は以下のとおりです。

    LDAP attribute=${Client certificate attribute}

    例えば、uid=${SubjectCN} のようにします。

    フィルター指定の最初の辺 (LDAP attribute) は LDAP 属性であり、 これは LDAP サーバーが使用すると構成されているスキーマに依存します。フィルター指定のもう一方の辺 (${Client certificate attribute}) は、 クライアント証明書にあるパブリック属性の 1 つです。この辺は、ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。フィルター指定のこの辺では、以下の証明書属性値を使用できます。ストリングの大/小文字の区別は重要です
    • ${UniqueKey}
    • ${PublicKey}
    • ${IssuerDN}
    • ${Issuer<xx>}

      ここで、<xx> は、発行者識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。 例えば、発行者共通名に ${IssuerCN} を使用できます。

    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${SubjectDN}
    • ${Subject<xx>}

      ここで、<xx> は、サブジェクト識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。 例えば、サブジェクト共通名に ${SubjectCN} を使用できます。

    • ${Version}
  16. オプション: LDAP サーバーで Secure Sockets Layer 通信を使用する場合は、 「Require SSL communications」オプションを選択します。
    Require SSL communications」オプションを選択する場合は、 「中央管理対象」または「特定 SSL 別名の使用」オプションを選択することができます。
    中央管理対象
    1 つのロケーションのセル、ノード、サーバー、またはクラスターなどの 特定の有効範囲に、SSL 構成を指定できます。「中央管理対象」オプションを使用するには、エンドポイントの特定のセットに対して SSL 構成を指定する必要があります。「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」パネルには、SSL プロトコルを使用するすべてのインバウンドおよびアウトバウンドのエンドポイントが表示されます。そのパネルの「インバウンド」または「アウトバウンド」セクションを展開し、ノードの名前をクリックすると、そのノード上の各エンドポイントで使用される SSL 構成を指定できます。 LDAP レジストリーの場合は、LDAP に SSL 構成を指定することにより、継承された SSL 構成をオーバーライドできます。 LDAP に SSL 構成を指定するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」> 「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」をクリックします。
    2. アウトバウンド」>「cell_name」>「ノード」>「node_name」> 「サーバー」>「server_name」>「LDAP」と展開します。
    特定 SSL 別名の使用
    特定 SSL 別名の使用」オプションの下のメニューにある SSL 構成の うちどれかを選択したい場合は、このオプションを選択します。
    この構成は、LDAP で SSL が使用可能になっている場合にのみ使用されます。デフォルトは、「DefaultSSLSettings」です。 SSL 構成を変更するか、または新規作成するには、以下のステップを実行します。
    1. セキュリティー」>「SSL 証明書および鍵管理」をクリックします。
    2. 「構成設定」の下の「エンドポイント・セキュリティー構成 およびトラスト・ゾーンの管理」>「configuration_name」とクリックします。
    3. 「関連項目」の下の「SSL 構成」をクリックします。
  17. OK」をクリックします。

タスクの結果

以上のステップが完了すると、LDAP リポジトリー設定が構成されます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
ファイル名:twim_ldap_settings.html