ここでは、既存の Business Process Choreographer 構成を変更して、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーを使用する方法について説明します。
このタスクを実行する理由と実行時期
このタスクのステップ
- LDAP ユーザー・レジストリーを構成します。
- と進み、「グローバル・セキュリティーを使用可能にする (Enable global security)」が使用可能になっていないことを確認します。
- 「ユーザー・レジストリー (User registries)」の下で LDAP を選択します。
- セキュリティー目的のために WebSphere Process Server
を実行する時に使用するユーザー名とパスワードを設定します。 「サーバー・ユーザー ID (Server user ID)」フィールドにユーザー名を入力し、それに対応するパスワードを 「サーバー・ユーザー・パスワード (Server user password)」フィールドに入力します。この ID は、LDAP 管理者ユーザー ID ではありません。このユーザー ID は、LDAP レジストリーになくてはなりません。
- ユーザー・レジストリーとして使用する特定の LDAP を「タイプ」リストから選択します。
- 「ホスト (Host)」フィールドに、LDAP サーバーのホスト名を入力します。
- 「ポート」フィールドに、LDAP サーバーがそこで listen を実行するポートの番号を入力します。
- 「基本識別名 (Base Distinguished Name)」を入力します。
この値はディレクトリー・サービスの基本識別名を指定します。
この識別名はディレクトリー・サービスの LDAP 検索の開始点を示します。
許可の目的のために、
このフィールドでは大/小文字が区別されます。この識別名を指定するということは、
(例えば、他のセルまたは Lotus Domino サーバーなどから) トークンを受信した場合、サーバーの基本識別名 (DN) が他のセルまたは Lotus Domino サーバーの基本 DN と完全に一致しなければならないことを意味します。許可に関して大/小文字を区別する必要がなければ、「大/小文字を区別しない (Ignore case)」フィールドを使用可能にします。このフィールドは、
Lotus Domino Directory 以外のすべての LDAP ディレクトリーについて必須指定です。
Lotus Domino Directory については任意で指定します。
- 「バインド識別名 (Bind Distinguished Name)」を入力します。 アプリケーション・サーバーが LDAP サーバーにバインドするために使用するユーザー ID を入力します。例えば、「サーバー・ユーザー ID (Server user ID)」に入力した同じユーザー ID を使用できます。
- 「バインド・パスワード (Bind Password)」を入力します。 「バインド識別名 (Bind Distinguished Name)」で指定したユーザー ID のパスワードを入力します。
- 残りのパラメーターはデフォルト値のままにして、変更を確認します。 「OK」をクリックします。
- Lightweight Third Party Authentication (LTPA) メカニズムを構成します。 「認証 (Authentication)」の下で「認証メカニズム (Authentication
mechanisms)」を開き、LTPA を選択します。「パスワード」フィールドおよび「パスワードの確認 (Confirm
password)」フィールドで、任意のパスワードを入力し「OK」をクリックします。
- グローバル・セキュリティー、Java 2 セキュリティー、LTPA および LDAP を使用可能にします。
- 「グローバル・セキュリティーを使用可能にする (Enable global security)」を選択します。
- 「Java 2 セキュリティーを施行する (Enforce Java 2 security)」を選択します。
- アクティブ認証メカニズムでは、Lightweight Third Party Authentication (LTPA)を選択します。
- アクティブ・アクティブ・ユーザーでは、Lightweight
Directory Access Protocol (LDAP) ユーザー・レジストリー を選択します。
- 「OK」をクリックして、変更を保管します。
- WebSphere Process Server を再始動します。
- ステップ 1.c の「サーバー・ユーザー ID (Server user ID)」で指定したユーザー ID を使用して、管理コンソールへログオンします。
- ビジネス・プロセス・コンテナー・アプリケーションの JMSAPIUser ロールに新規ユーザー・マッピングを追加します。
- 管理コンソールで、ビジネス・プロセス・コンテナー・アプリケーションを検索します。 を順にクリックします。
- 「追加プロパティー」の下で、「RunAs ロールをユーザーにマップする (Map
RunAs roles to users)」をクリックします。
- ユーザー名には、LDAP ユーザー・レジストリーで定義される正当なユーザー ID を入力します。
- パスワードには、ユーザー ID のパスワードを入力します。
- JMSAPIUser のテーブル行の前面にあるチェック・ボックスを選択します。
- 「適用」をクリックします。これは、ユーザー ID とロールを関連付けます。ユーザー ID がテーブルに追加されます。
- 「OK」をクリックして、変更を保管します。
- ビジネス・プロセス・コンテナー・アプリケーションの システム管理者およびシステム・モニター用のセキュリティー・ロール・マッピングを追加します。
- 管理コンソールで、ビジネス・プロセス・コンテナー・アプリケーションを検索します。 を順にクリックします。
- 「追加プロパティー」の下で、「ユーザー/グループにセキュリティー・ロールをマップする (Map security roles to users/group)」をクリックします。
- BPESystemAdministrator および BPESystemMonitor のテーブル行の前面にあるチェック・ボックスを選択します。
- 「ユーザーを検索 (Lookup Users)」をクリックします。
- 「検索文字列 (Search String)」で、文字 * を入力し、「検索」をクリックします。
- 「使用可能 (Available)」リストで、ビジネス・プロセス管理者およびビジネス・プロセス・モニターのロールを実行するユーザーやグループのエントリーを選択し、>> をクリックします。
- 「OK」をクリックします。
- BPESystemAdministrator の前面にあるチェック・ボックスを選択し、他のチェック・ボックスが選択されている場合は、それらをクリアします。
- 「グループを検索 (Lookup Groups)」をクリックします。
- 「選択済み」フィールドに表示されているグループを選択してそのグループを除去し、<<、「OK」を順にクリックします。
- 「OK」をクリックして、変更を保管します。
- ヒューマン・タスク・コンテナー・アプリケーションの EscalationUser ロールの新規ユーザー名マッピングを追加します。
- 管理コンソールで、ヒューマン・タスク・コンテナー・アプリケーションを検索します。 を順にクリックします。
- 「追加プロパティー」の下で、「RunAs ロールをユーザーにマップする (Map
RunAs roles to users)」をクリックします。
- ユーザー名には、LDAP ユーザー・レジストリーで定義される正当なユーザー ID を入力します。
- パスワードには、ユーザー ID のパスワードを入力します。
- EscalationUser のテーブル行の前面にあるチェック・ボックスを選択します。
- 「適用」をクリックします。これは、ユーザー ID とロールを関連付けます。ユーザー ID がテーブルに追加されます。
- 「OK」をクリックして、変更を保管します。
- ヒューマン・タスク・コンテナー・アプリケーションの システム管理者およびシステム・モニター用のセキュリティー・ロール・マッピングを追加します。
- 管理コンソールで、ビジネス・プロセス・コンテナー・アプリケーションを検索します。 を順にクリックします。
- 「追加プロパティー」の下で、「ユーザー/グループにセキュリティー・ロールをマップする (Map security roles to users/group)」をクリックします。
- TaskSystemAdministrator および TaskSystemMonitor のテーブル行の前面にあるチェック・ボックスを選択します。
- 「ユーザーを検索 (Lookup Users)」をクリックします。
- 「検索文字列 (Search String)」で、文字 * を入力し、「検索」をクリックします。
- 「使用可能 (Available)」リストで、ステップ 1.c で指定したユーザー ID のエントリーを選択し、>> をクリックします。
- 「OK」をクリックします。
- TaskSystemAdministrator の前面にあるチェック・ボックスを選択し、他のチェック・ボックスが選択されている場合は、それらをクリアします。
- 「グループを検索 (Lookup Groups)」をクリックします。
- 「選択済み」フィールドに表示されているグループを選択してそのグループを除去し、<<、「OK」を順にクリックします。
- 「OK」をクリックして、変更を保管します。
- サンプル LDAP スタッフ・プラグイン構成を変更します。
- 管理コンソールで、をクリックします。
- 「追加プロパティー」の下の「スタッフ・プラグイン構成 (Staff Plugin Configuration)」をクリックします。
- 「LDAP スタッフ・プラグイン構成サンプル (LDAP Staff Plugin Configuration sample)」をクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー (Custom properties)」をクリックします。
- BaseDN プロパティーの値を、ステップ 1.g で Base Distinguished Name (DN) に入力した同じ値に設定します。
- ProviderURL の値を LDAP サーバーの URL に設定します。 例えば ldap://host:port。ここで、host および port は、ステップ 1.e および 1.f で入力した値です。
- 「OK」をクリックして、変更を保管します。
- J2EE コネクター・アーキテクチャー (J2C) の認証データ入力を変更します。
- 管理コンソールで、をクリックします。
- 「JAAS 構成 (JAAS Configuration)」で、「J2C 認証データ (J2C Authentication data)」をクリックします。
- 各ユーザー別名を変更し、ユーザー ID およびパスワードを、LDAP ユーザー・レジストリーで定義される有効なユーザーID の値に設定します。データベースの別名は変更しないでください。
- 変更を保管します。
- サーバーを再始動します。
- ND の場合: クラスター、すべてのノード・エージェント、およびデプロイメント・マネージャーを停止して再始動します。
- 単一サーバーの場合: サーバーを再始動します。
注: ステップ
1.c で指定したサーバー・ユーザー ID を使用して、サーバー、ノード・エージェント、およびデプロイメント・マネージャーを停止します。
- Business Process Choreographer アプリケーションが稼働していることを確認します。
- 管理コンソールで、をクリックします。
- アプリケーション BPEContainer_node_server、 および TaskContainer_node_server が実行していることを確認します。
結果
これで、すべてのスタッフ照会が、選択された LDAP サーバーに対して実行されます。