Microsoft Active Directory を使用した認証
多くのインストール済み環境で、Microsoft Active Directory が、ユーザー認証とユーザー・データを管理するためのプライマリー・コンポーネントとして使用されます。Microsoft Active Directory の一部分では、Lightweight Directory Access Protocol (LDAP) サービスが提供されています。 WebSphere® Application Server は LDAP をサポートしているため、WebSphere Application Server は Microsoft Active Directory をサポートします。
Microsoft Active Directory は、LDAP に完全に準拠していますが、WebSphere Application Server によるディレクトリー情報の取得を困難にする可能性がある方法で LDAP 情報を 公開します。
WebSphere Application Server は、操作に必要なすべての情報が単一の LDAP ディレクトリーに含まれていることを前提とした方法 で作動します。複雑な Microsoft Active Directory の構成では、この前提は当てはまりません。 WebSphere Application Server - Microsoft Active Directory のインストール済み環境では、データがフォレスト内のドメイン・コントローラー全体に広がっているため、 固有の対処が必要となります。
Microsoft Active Directory インストール済み環境では、フォレストの使用を頻繁に取り入れます。そのようなものとして、 ユーザー ID の固有性に関するセキュリティー上の質問、ユーザー・グループ情報の信頼できる取得などがあり、 フォレスト間に広がるグループ・メンバーシップが重要になります。
以下の図に、標準的な Microsoft Active Directory の インストール環境を示します。

この図は、1 つ以上のツリーからなる 2 つのフォレストを示しています。ツリーには、 1 つ以上のドメインを含むことができます。この場合、ドメインとは、構成される環境の基本を形成する 単一のアトミック単位です。各ドメインは、dc=acme, dc=com のような識別名 (DN) の プライマリー・ドメイン・コンポーネントから構成されます。フォレストでは、 信頼を他のフォレストに拡張することができます (この信頼は、Kerberos に基づきます。).
Microsoft Active Directory の WebSphere Application Server との構成
- 単純構成
- 標準構成
- やや標準から外れた構成
- 珍しい構成
最も単純な構成は、 単一ドメインを表すスタンドアロン LDAP レジストリーによる構成です。 この構成は、WebSphere Application Server と Microsoft Active Directory との最も緊密な一致を表します。 この構成では、Microsoft Active Directory は、WebSphere Application Server スタンドアロン LDAP ユーザー・レジストリーの実装によってサポートされます。あるいは、 単一の LDAP リポジトリーを含む統合リポジトリー・レジストリーを介して、 この単一の Microsoft Active Directory ドメインに アクセスすることができます。
単純な単一ドメイン の Microsoft Active Directory 構成よりやや複雑な Microsoft Active Directory の標準構成は、フォレスト内の単一のツリーからなり、ツリーの各ブランチがドメインです。 この構成の例として、4 つのドメイン (A、B、C、D) を持つ単一のツリーによる構成例を以下に示します。


やや標準から外れた WebSphere Application Server - Microsoft Active Directory 構成は、より大規模な企業の組織単位の合併から発展します。企業で ドメインの単一のフォレストを使用していたところへ、いくつかの新しい組織単位の合併により、 フォレストにツリーが追加されるか、あるいは環境に複数のフォレストが追加されることがあります。 この環境では、WebSphere Application Server LDAP 構成をより注意深く設計する必要があります。このような環境では、別個の LDAP リポジトリーがフォレスト内の各ツリーの最上位にマップする 統合リポジトリー・レジストリーを使用する必要があります。 また、Microsoft Active Directory ツリーが最上位ドメインの下に存在する場合、LDAP 参照はその LDAP レジストリーに対して有効になっている必要があります。 合併の結果、フォレストは以下の図のようになります。

珍しい構成は、ユーザー・フォレストとグループ・フォレスト の組み合わせがある状態で構成される Microsoft Active Directory のドメインからなります。ユーザーは、ForeignSecurityPrincipals オブジェクトとして グループ・フォレストにインポートされます。グループには、メンバーとして、ForeignSecurityPrincipals オブジェクトの識別名 (DN) が含まれます。
この形式の構成では、 直接グループ検索は行われません。検索は、複数のレジストリー全体にわたる静的グループ照会に降格されます。この構成では、カスタム・ユーザー・レジストリーが必要です。ただし、WebSphere Application Server レジストリーは このタイプの構成をサポートしません。以下の図を参照してください。

Microsoft Active Directory フォレストの LDAP ユーザー・フィルターとしての使用
複数のリポジトリー間 や Microsoft Active Directory フォレスト構成などの分散 LDAP 間での ユーザーの認証は容易ではありません。レジストリー全体の検索を行う場合に、 あいまいな一致結果により、実行時に複数の一致が検出された場合、認証は失敗します。複数の Microsoft Active Directory ドメイン環境では、WebSphere Application Server 管理者は、Microsoft Active Directory での デフォルトの固有 ID がユーザーの sAMAccountName 属性であることを考慮する必要があります。ユーザー ID が 単一ドメイン内で固有であることは保証されますが、所定のユーザー ID がツリーまたはフォレスト全体 にわたって固有であることを保証することはできません。ユーザーの sAMAccountName 属性を使用して Microsoft Active Directory フォレスト内のユーザー ID を 検索する方法について理解するには、『Microsoft Active Directory フォレストにおける LDAP レジストリーによるユーザーの認証』のトピックを参照してください。
