Lightweight Directory Access Protocol リポジトリーの構成設定

このページを使用して、オプションのフェイルオーバー・サーバーとともに Lightweight Directory Access Protocol (LDAP) リポジトリーへのセキュアなアクセスを構成します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 管理コンソールで、「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、「使用可能なレルム定義」フィールドから「統合リポジトリー」を選択し、「構成」をクリックします。複数のセキュリティー・ドメイン環境内の特定のドメインを構成するには、「セキュリティー・ドメイン」 > 「domain_name」をクリックします。「セキュリティー属性」の下で「ユーザー・レルム」を 展開し、「このドメイン用にカスタマイズする」をクリックします。レルム・タイプとして「統合リポジトリー」を選択し、「構成」をクリックします。
  3. 「関連項目」の下の「リポジトリーの管理」をクリックします。
  4. 「追加」をクリックして新規の外部リポジトリーを指定するか、事前構成されている外部リポジトリーを選択します。

統合リポジトリー構成の追加または更新が完了したら、「セキュリティー」 > 「グローバル・セキュリティー」パネルへ移動し、「適用」をクリックして変更内容を有効にしてください。

リポジトリー ID

LDAP リポジトリーに対する固有 ID を指定します。 この ID はセル内のリポジトリー (LDAP1 など) を一意に識別します。

ディレクトリー・タイプ

接続する LDAP サーバーのタイプを指定します。

ドロップダウン・リストを展開して、LDAP ディレクトリー・タイプのリストを表示します。

プライマリー・ホスト名

プライマリー LDAP サーバーのホスト名を指定します。このホスト名は IP アドレスか、ドメイン・ネーム・サービス (DNS) 名のいずれかです。

Port

LDAP サーバー・ポートを指定します。

デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。

通知
データ型: 整数
デフォルト: 389
範囲: 389 (Secure Sockets Layer (SSL) 接続でない場合)

636 (Secure Sockets Layer (SSL) 接続の場合)

フェイルオーバー・ホスト名

フェイルオーバー LDAP サーバーのホスト名を指定します。

プライマリー・ディレクトリー・サーバーが使用不可になった際に使用する、 セカンダリー・ディレクトリー・サーバーを指定できます。セカンダリー・ディレクトリー・サーバーに切り替えた後で、 LDAP リポジトリーは、15 分ごとにプライマリー・ディレクトリー・サーバーへの再接続を試みます。

Port

フェイルオーバー LDAP サーバーのポートを指定します。

デフォルト値は 389 です。 これは Secure Sockets Layer (SSL) 接続ではありません。Secure Sockets Layer (SSL) 接続には ポート 636 を使用します。一部の LDAP サーバーでは、非 SSL または SSL 接続に異なったポートを指定できます。 使用するポートがわからない場合は、LDAP サーバー管理者に連絡してください。

通知
データ型: 整数
範囲: 389 (Secure Sockets Layer (SSL) 接続でない場合)

636 (Secure Sockets Layer (SSL) 接続の場合)

他の LDAP サーバーへの参照のサポート

LDAP サーバーによって検出された参照がどのように処理されるかを指定します。

参照は、クライアント要求を別の LDAP サーバーに転送するときに 使用されるエンティティーです。参照には、他のオブジェクトの名前と位置が入っています。 参照は、クライアントが要求した情報が、別のロケーション (おそらく、別のサーバーまたは複数のサーバー) にあることを示すために、サーバーによって送信されます。デフォルト値は ignore です。

通知
デフォルト: ignore
範囲:
ignore
参照は無視されます。
follow
参照は自動的に行われます。

リポジトリー変更トラッキングのサポート

リポジトリー変更トラッキングのサポートのタイプを指定します。プロファイル・マネージャーは、対応するアダプターに要求を渡す前にこの値を参照します。この値が「none」の場合、変更済みエンティティーを取得するためにこのリポジトリーが呼び出されることはありません。

none
このリポジトリーには変更トラッキングのサポートはないことを指定します。
ネイティブ (native)
変更されたエンティティーを戻すために、仮想メンバー・マネージャーによってリポジトリーのネイティブの変更トラッキング・メカニズムが使用されることを指定します。

カスタム・プロパティー

データの名前と値の任意のペアを指定します。名前はプロパティー・キー、値は内部システム構成プロパティーの設定に使用できるストリング値です。

新規プロパティーを定義すると、管理コンソールで提供されるもの以外の設定を構成することができます。

バインド識別名

アプリケーション・サーバーが LDAP リポジトリーにバインドする際に使用する識別名 (DN) を指定します。

名前を指定しない場合、アプリケーション・サーバーは匿名でバインドされます。 ほとんどの場合、バインド DN とバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。

バインド・パスワード

アプリケーション・サーバーが LDAP リポジトリーにバインドする際に使用するパスワードを指定します。

ログイン・プロパティー

アプリケーション・サーバーにログインするために使用するプロパティー名を指定します。

このフィールドには、セミコロン (;) で区切られた複数のログイン・プロパティーが入ります。 例えば、uid;mail のようになります。ログインの際に、 すべてのログイン・プロパティーが検索されます。複数のエントリーが検出された場合、またはエントリーが検出されない場合は、 例外がスローされます。例えば、 ログイン・プロパティーを uid;mail、ログイン ID を Bob と指定すると、 検索フィルターは uid=Bob または mail=Bob を検索します。検索で単一のエントリーが 戻される場合は、認証は先に進みます。そうでない場合は、例外がスローされます。

サポートされる構成 サポートされる構成: 複数のログイン・プロパティーを定義した場合、最初のログイン・プロパティーはプログラムで統合リポジトリーの principalName プロパティーにマッピングされます。例えば、 uid;mail をログイン・プロパティーとして設定する場合、 LDAP 属性の uid 値は、統合リポジトリー principalName プロパティーに マッピングされます。複数のログイン・プロパティーを定義する場合、ログイン後に、 principalName プロパティーの値として最初のログイン・プロパティーが 戻されます。例えば、joe@yourco.com を principalName 値として渡し、ログイン・プロパティーが uid;mail として構成されている場合、principalName は joe として戻されます。sptcfg

Kerberos プリンシパル名の LDAP 属性

Kerberos プリンシパル名の LDAP 属性を指定します。このフィールドは、Kerberos が構成されていて、それがアクティブまたは優先される認証メカニズムの 1 つであるときに変更可能です。

証明書マッピング

X.509 証明書を LDAP ディレクトリー にマップする際、EXACT_DN と CERTIFICATE_FILTER のどちらを使用するかを指定します。指定された証明書フィルターをマッピングに使用する場合は、CERTIFICATE_FILTER を指定します。

証明書フィルター

LDAP フィルターのフィルター証明書マッピング・プロパティーを指定します。 フィルターは、クライアント証明書内の属性を LDAP リポジトリー内のエントリーにマップするために使用されます。

実行時に複数の LDAP エントリーがフィルターの指定に一致すると、結果があいまい一致となるので認証は失敗します。 このフィルターの構文または構造は以下のとおりです。

LDAP attribute=${Client certificate attribute}

例えば、単純な証明書フィルターとしては uid=${SubjectCN} があります。

また、複数のプロパティーと値を証明書フィルターの一部として指定することもできます。以下に、複雑な証明書フィルターの 2 つの例を示します。

(&(cn=${IssuerCN}) (employeeNumber=${SerialNumber})

(& (issuer=${IssuerDN}) (serial=${SerialNumber}) (subjectdn=${SubjectDN}))

フィルター仕様の左辺は LDAP 属性で、これは LDAP サーバーが構成時に使用するスキーマにより異なります。 フィルター仕様の右辺は、クライアント証明書にあるパブリック属性の 1 つです。 また、UniqueKey 証明書変数を使用することもできます。この変数は、サブジェクトの DN と発行者の DN の MD5 ハッシュの Base64 エンコードで構成されます。右辺は、ドル記号 ($) と左大括弧 ({) で始まり、右大括弧 (}) で終わる必要があります。 フィルター仕様の右辺には、以下の証明書属性値を使用できます。ストリングの大/小文字の区別は重要です
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuerxx} ここで、xx は、発行者識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。例えば、発行者共通名に ${IssuerCN} を使用できます。
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subjectxx} ここで、xx は、サブジェクト識別名のいずれかの有効なコンポーネントを表す文字に置き換えます。例えば、サブジェクト共通名に ${SubjectCN} を使用できます。
  • ${Version}

SSL 通信を必要とする

LDAP サーバーに対してセキュア・ソケット通信を使用可能にするかどうかを指定します。

使用可能にすると、LDAP に対する Secure Sockets Layer (SSL) の設定値が指定されている場合には、その設定値が使用されます。

中央管理対象

SSL 構成の選択が、Java™ Naming and Directory Interface (JNDI) プラットフ ォームのアウトバウンド・トポロジー表示をベースにすることを指定します。

集中管理された構成は SSL 構成を保守するために 1 つのロケーションをサポートし、複数の構成文書にわたって SSL 構成を広げることはありません。

通知
デフォルト: 使用可能
範囲: 使用可能または使用不可

特定 SSL 別名の使用

LDAP アウトバウンド SSL 通信に使用する SSL 構成別名を指定します。

このオプションは、JNDI プラットフォームの中央管理構成をオーバーライドします。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwim_ldapreposettings
ファイル名:uwim_ldapreposettings.html