[IBM i]

Lightweight Directory Access Protocol ユーザー・レジストリーへのユーザーの追加

Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーは、 WebSphere® Application Server がサポートしている任意の認証メカニズムで使用できます。 そのため、Application Server リソースへのアクセス許可を付与されるユーザーを LDAP ディレクトリーに追加する必要があります。

このタスクについて

この情報は、iSeries Directory Services 製品に固有の情報です。

ユーザーを追加するには、さまざまな方法を使用できます。ただし、最も簡単な方法は、LDAP Data Interchange Format (LDIF) ファイルを作成することです。 このファイルには、ディレクトリーに追加するユーザーの集合が含まれます。 このファイルは、idsldapmodify などの LDAP ユーティリティーで使用されます。 これらのユーティリティーは、オペレーティング・システムまたはワークステーションのどちらからでも実行できます。 これらの LDAP ユーティリティーをオペレーティング・システムから実行する場合、LDIF ファイルは統合ファイル・システム内にある必要があります。

ユーザーを LDAP ユーザー・レジストリーに追加するには、以下のステップを実行します。

手順

  1. LDIF ファイルを作成し、統合ファイル・システムに保存します。 Edit File (EDTF) ユーティリティーまたはワークステーションのテキスト・エディターを使用して、ファイルを作成します。 ドライブのマッピングまたはファイル転送プロトコル (FTP) を使用して、統合ファイル・システムにファイルを保存します。

    WebSphere Application Server および LDAP ディレクトリー・サービスに関して、ePerson スキーマ定義に対応するエントリーをディレクトリー内に作成します。

    単純な ePerson LDIF エントリーは、以下の例のようになります。
    dn: cn=John Doe, ou=Rochester, o=IBM, c=US
    objectclass: person
    objectclass: inetOrgPerson
    objectclass: top
    objectclass: organizationalPerson
    objectclass: ePerson
    cn: John Doe
    sn: Doe
    uid: jdoe
    userpassword: secretpass

    この LDIF エントリーは、ユーザー John Doe 用の ePerson を定義します。 John のユーザー ID (uid) は jdoe に設定され、パスワードは secretpass に設定されます。 このエントリーは Rochester 組織単位の中にあり、この組織単位は米国の IBM® 組織の中にあります。 エントリーを含む ouo、および c のそれぞれが、この ePerson エントリーが定義される前に定義されます。 一連の LDIF エントリーを同じファイルに定義して、WebSphere Application Server に対して Lightweight Third Party Authentication (LTPA) ユーザーを定義できます。

    userpassword 属性の値を指定しない場合、LDAP サーバーは、uid 属性値によって識別されたローカル・オペレーティング・システム用のユーザー・プロファイルを使用して LTPA ユーザーを認証しようとします。 ユーザーにオペレーティング・システム用のユーザー・プロファイルがあり、オペレーティング・システム・ユーザー・レジストリーと LDAP ディレクトリーの両方でパスワードを管理することを避けたい場合、このアクションが役立ちます。

    ePerson エントリーを作成する場合、cn および uid 属性がそれぞれ固有値を持つようにする必要があります。 cn 属性と uid 属性の値が同じ複数のエントリーを作成しないでください。

    重要: 大規模なユーザー・レジストリーでは、「グループ・メンバー ID マップ」プロパティーがデフォルト値 (groupOfNames:member および groupOfUniqueNames:uniqueMember の両方) のままである場合、ログイン・パフォーマンスに著しく影響することがあります。

    このパフォーマンス上の問題に対処するためには、これらのオブジェクト・クラスの両方ではなく 1 つを指定します。 そのうえで、選択したオブジェクト・クラスを、ユーザー・レジストリーにグループを実装するためだけに使用する必要があります。

  2. LDIF ファイル・エントリーをサーバー上のディレクトリーにインポートします。 LDAP ldapadd ユーティリティーは、Qshell Interpreter (QSH) 内またはワークステーションから使用します。

次のタスク

LDIF エントリーのインポートについて詳しくは、IBM i 6.1 および 7.1 のインフォメーション・センターにあるディレクトリー・サービスの資料を参照してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_seccltpa
ファイル名:tsec_seccltpa.html