スタンドアロン Lightweight Directory Access Protocol レジストリー
スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリーは、LDAP バインディングを使用して認証を行います。
WebSphere® Application Server セキュリティーは、ユーザーおよびグループの情報用リポジトリーとして機能する、主要な LDAP ディレクトリー・サーバーの実装を提供し、サポートします。 これらの LDAP サーバーは、ユーザー認証やその他のセキュリティー関連タスクの際に呼び出されます。 例えば、ユーザーまたはグループ情報を取得するために、サーバーが使用されます。 このサポートは、ユーザーおよびグループの情報を取得するためにさまざまなユーザーおよびグループのフィルターを使用することにより、提供されます。 これらのフィルターは、 ユーザーの要求に合うように変更可能なデフォルト値を持っています。 カスタム LDAP フィーチャーにより、適切なフィルターを使用すれば、製品がサポートする LDAP サーバーのリストにはない、 他の任意の LDAP サーバーをユーザー・レジストリーとして使用できます。
スタンドアロン LDAP レジストリーから統合リポジトリーにマイグレーションすることをお勧めします。WebSphere Portal 6.1 以上または WebSphere Process Server 6.1 以上 (あるいはその両方) に移行する場合は、これらのアップグレードの前に統合リポジトリーにマイグレーションする必要があります。 統合リポジトリーおよびその機能について詳しくは、『統合リポジトリー』のトピックを参照してください。 統合リポジトリーへのマイグレーション方法について詳しくは、『スタンドアロン LDAP リポジトリーを統合リポジトリーの LDAP リポジトリー構成にマイグレーションする』のトピックを参照してください。
LDAP をユーザー・レジストリーとして使用するには、 レジストリーで定義されている管理ユーザー名、 サーバーのホストとポート、基本識別名 (DN)、 およびバインド DN とバインドのパスワード (必要な場合) を 把握しておく必要があります。 レジストリー内で検索可能で管理特権を持つ、有効な任意のユーザーを選択できます。 一部の LDAP サーバーでは、例えば SecureWay の cn=root など、管理ユーザーは検索不可で使用できないことがあります。 この資料では、このユーザーを、WebSphere Application Server セキュリティー・サーバー ID、サーバー ID、またはサーバー・ユーザー ID と呼びます。 ユーザーがサーバー ID であるということは、 保護された内部メソッドを呼び出す際に特別な権限があるということです。 通常、この ID およびパスワードは、セキュリティーをオンにした後に管理コンソールにログインする際に使用されます。 別のユーザーでも、そのユーザーに管理ロールがあれば、ログインに使用することができます。
セキュリティーがこの製品で使用可能ある場合、 1 次管理ユーザー名およびパスワードは、製品の開始の際にレジストリーで認証されます。 認証が失敗すると、サーバーは始動しません。 期限切れでない ID とパスワード、または頻繁に変更されている ID とパスワードを選択してください。レジストリー内で製品サーバー・ユーザー ID またはパスワードを変更する必要がある場合は、 必ず、すべての製品サーバーを始動して稼働しているときに変更を行うようにしてください。
レジストリー内で変更を完了したら、 Lightweight Directory Access Protocol ユーザー・レジストリーの構成で説明しているステップに従ってください。 ID、パスワード、およびその他の構成情報を変更して保存してから、 新規の ID またはパスワードが製品で使用されるように、 すべてのサーバーを停止して再始動します。 セキュリティーが使用可能であるときに、製品の始動に何か問題が発生した場合は、 サーバーを始動できるようにするためにセキュリティーを使用不可にしてください。 この問題を避けるには、 このパネルでの変更が「グローバル・セキュリティー」パネルで検証済みであることを確認してください。 サーバーが始動したら、ID、パスワード、およびその他の構成情報を変更し、 その後にセキュリティーを使用可能にすることができます。
カスタム Lightweight Directory Access Protocol (LDAP) フィーチャーを使用すると、正しい構成をセットアップすることによって、 任意の LDAP サーバーをサポートできます。 ただし、これらのカスタム LDAP サーバーはサポートの対象にはなりません。多種の構成が考えられるためです。
ユーザーおよびグループ、さらにセキュリティー・ロール・マッピングの情報は、アクセス制御の決定のため、構成済み許可エンジンにより使用されます。
![[z/OS]](../images/ngzos.gif)
- EJBROLE または GEJBROLE プロファイルを使用した System Authorization Facility (SAF) 許可。 SAF は他のすべての許可メカニズムに優先します。
- Java™ Contract for Containers (JACC) プロバイダーとしての Tivoli® Access Manager。 詳しくは、JACC プロバイダーとしての Tivoli Access Manager の統合を参照してください。
- アプリケーション・アセンブラーまたは WebSphere Application Server セキュリティー管理者により作成される、ユーザーとロールのバインディング。
![[z/OS]](../images/ngzos.gif)
- SAF は、Tivoli Access Manager などの、他のすべての許可の選択項目に優先します。
- LDAP またはカスタム・レジストリー ID を SAF ユーザー ID にマップする、Java Authentication and Authorization Service (JAAS) ログイン・マッピング・モジュールを構成し、インストールする必要があります。 詳しくは、WebSphere Application Server 用のカスタム System Authorization Facility マッピング・モジュールのインストールおよび構成を参照してください。