LDAP ユーザー・レジストリーを使用するための Business Process Choreographer の構成

ここでは、既存の Business Process Choreographer 構成を変更して、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリーを使用する方法について説明します。

このタスクを実行する理由と実行時期

このタスクのステップ

  1. LDAP ユーザー・レジストリーを構成します。
    1. 「セキュリティー (Security)」 > 「グローバル・セキュリティー (Global security)」と進み、「グローバル・セキュリティーを使用可能にする (Enable global security)」が使用可能になっていないことを確認します。
    2. 「ユーザー・レジストリー (User registries)」の下で LDAP を選択します。
    3. セキュリティー目的のために WebSphere Process Server を実行する時に使用するユーザー名とパスワードを設定します。 「サーバー・ユーザー ID (Server user ID)」フィールドにユーザー名を入力し、それに対応するパスワードを 「サーバー・ユーザー・パスワード (Server user password)」フィールドに入力します。この ID は、LDAP 管理者ユーザー ID ではありません。このユーザー ID は、LDAP レジストリーになくてはなりません。
    4. ユーザー・レジストリーとして使用する特定の LDAP を「タイプ」リストから選択します。
    5. 「ホスト (Host)」フィールドに、LDAP サーバーのホスト名を入力します。
    6. 「ポート」フィールドに、LDAP サーバーがそこで listen を実行するポートの番号を入力します。
    7. 「基本識別名 (Base Distinguished Name)」を入力します。

      この値はディレクトリー・サービスの基本識別名を指定します。 この識別名はディレクトリー・サービスの LDAP 検索の開始点を示します。

      許可の目的のために、 このフィールドでは大/小文字が区別されます。この識別名を指定するということは、 (例えば、他のセルまたは Lotus Domino サーバーなどから) トークンを受信した場合、サーバーの基本識別名 (DN) が他のセルまたは Lotus Domino サーバーの基本 DN と完全に一致しなければならないことを意味します。許可に関して大/小文字を区別する必要がなければ、「大/小文字を区別しない (Ignore case)」フィールドを使用可能にします。このフィールドは、 Lotus Domino Directory 以外のすべての LDAP ディレクトリーについて必須指定です。 Lotus Domino Directory については任意で指定します。

    8. 「バインド識別名 (Bind Distinguished Name)」を入力します。 アプリケーション・サーバーが LDAP サーバーにバインドするために使用するユーザー ID を入力します。例えば、「サーバー・ユーザー ID (Server user ID)」に入力した同じユーザー ID を使用できます。
    9. 「バインド・パスワード (Bind Password)」を入力します。 「バインド識別名 (Bind Distinguished Name)」で指定したユーザー ID のパスワードを入力します。
    10. 残りのパラメーターはデフォルト値のままにして、変更を確認します。 「OK」をクリックします。
  2. Lightweight Third Party Authentication (LTPA) メカニズムを構成します。 「認証 (Authentication)」の下で「認証メカニズム (Authentication mechanisms)」を開き、LTPA を選択します。「パスワード」フィールドおよび「パスワードの確認 (Confirm password)」フィールドで、任意のパスワードを入力し「OK」をクリックします。
  3. グローバル・セキュリティー、Java 2 セキュリティー、LTPA および LDAP を使用可能にします。
    1. 「グローバル・セキュリティーを使用可能にする (Enable global security)」を選択します。
    2. 「Java 2 セキュリティーを施行する (Enforce Java 2 security)」を選択します。
    3. アクティブ認証メカニズムでは、Lightweight Third Party Authentication (LTPA)を選択します。
    4. アクティブ・アクティブ・ユーザーでは、Lightweight Directory Access Protocol (LDAP) ユーザー・レジストリー を選択します。
    5. 「OK」をクリックして、変更を保管します。
  4. WebSphere Process Server を再始動します。
  5. ステップ 1.c「サーバー・ユーザー ID (Server user ID)」で指定したユーザー ID を使用して、管理コンソールへログオンします。
  6. ビジネス・プロセス・コンテナー・アプリケーションの JMSAPIUser ロールに新規ユーザー・マッピングを追加します。
    1. 管理コンソールで、ビジネス・プロセス・コンテナー・アプリケーションを検索します。 「アプリケーション」 > 「エンタープライズ・アプリケーション」 > BPEContainer_<your_node>_<your_server>を順にクリックします。
    2. 「追加プロパティー」の下で、「RunAs ロールをユーザーにマップする (Map RunAs roles to users)」をクリックします。
    3. ユーザー名には、LDAP ユーザー・レジストリーで定義される正当なユーザー ID を入力します。
    4. パスワードには、ユーザー ID のパスワードを入力します。
    5. JMSAPIUser のテーブル行の前面にあるチェック・ボックスを選択します。
    6. 「適用」をクリックします。これは、ユーザー ID とロールを関連付けます。ユーザー ID がテーブルに追加されます。
    7. 「OK」をクリックして、変更を保管します。
  7. ビジネス・プロセス・コンテナー・アプリケーションの システム管理者およびシステム・モニター用のセキュリティー・ロール・マッピングを追加します。
    1. 管理コンソールで、ビジネス・プロセス・コンテナー・アプリケーションを検索します。 「アプリケーション」 > 「エンタープライズ・アプリケーション」 > BPEContainer_<your_node>_<your_server>を順にクリックします。
    2. 「追加プロパティー」の下で、「ユーザー/グループにセキュリティー・ロールをマップする (Map security roles to users/group)」をクリックします。
    3. BPESystemAdministrator および BPESystemMonitor のテーブル行の前面にあるチェック・ボックスを選択します。
    4. 「ユーザーを検索 (Lookup Users)」をクリックします。
    5. 「検索文字列 (Search String)」で、文字 * を入力し、「検索」をクリックします。
    6. 「使用可能 (Available)」リストで、ビジネス・プロセス管理者およびビジネス・プロセス・モニターのロールを実行するユーザーやグループのエントリーを選択し、>> をクリックします。
    7. 「OK」をクリックします。
    8. BPESystemAdministrator の前面にあるチェック・ボックスを選択し、他のチェック・ボックスが選択されている場合は、それらをクリアします。
    9. 「グループを検索 (Lookup Groups)」をクリックします。
    10. 「選択済み」フィールドに表示されているグループを選択してそのグループを除去し、<<「OK」を順にクリックします。
    11. 「OK」をクリックして、変更を保管します。
  8. ヒューマン・タスク・コンテナー・アプリケーションの EscalationUser ロールの新規ユーザー名マッピングを追加します。
    1. 管理コンソールで、ヒューマン・タスク・コンテナー・アプリケーションを検索します。 「アプリケーション」 > 「エンタープライズ・アプリケーション」 > TaskContainer_<your_node>_<your_server>を順にクリックします。
    2. 「追加プロパティー」の下で、「RunAs ロールをユーザーにマップする (Map RunAs roles to users)」をクリックします。
    3. ユーザー名には、LDAP ユーザー・レジストリーで定義される正当なユーザー ID を入力します。
    4. パスワードには、ユーザー ID のパスワードを入力します。
    5. EscalationUser のテーブル行の前面にあるチェック・ボックスを選択します。
    6. 「適用」をクリックします。これは、ユーザー ID とロールを関連付けます。ユーザー ID がテーブルに追加されます。
    7. 「OK」をクリックして、変更を保管します。
  9. ヒューマン・タスク・コンテナー・アプリケーションの システム管理者およびシステム・モニター用のセキュリティー・ロール・マッピングを追加します。
    1. 管理コンソールで、ビジネス・プロセス・コンテナー・アプリケーションを検索します。 「アプリケーション」 > 「エンタープライズ・アプリケーション」 > TaskContainer_<your_node>_<your_server>を順にクリックします。
    2. 「追加プロパティー」の下で、「ユーザー/グループにセキュリティー・ロールをマップする (Map security roles to users/group)」をクリックします。
    3. TaskSystemAdministrator および TaskSystemMonitor のテーブル行の前面にあるチェック・ボックスを選択します。
    4. 「ユーザーを検索 (Lookup Users)」をクリックします。
    5. 「検索文字列 (Search String)」で、文字 * を入力し、「検索」をクリックします。
    6. 「使用可能 (Available)」リストで、ステップ 1.c で指定したユーザー ID のエントリーを選択し、>> をクリックします。
    7. 「OK」をクリックします。
    8. TaskSystemAdministrator の前面にあるチェック・ボックスを選択し、他のチェック・ボックスが選択されている場合は、それらをクリアします。
    9. 「グループを検索 (Lookup Groups)」をクリックします。
    10. 「選択済み」フィールドに表示されているグループを選択してそのグループを除去し、<<「OK」を順にクリックします。
    11. 「OK」をクリックして、変更を保管します。
  10. サンプル LDAP スタッフ・プラグイン構成を変更します。
    1. 管理コンソールで、「リソース」 > 「スタッフ・プラグイン・プロバイダー」 > 「LDAP スタッフ・プラグイン・プロバイダー (LDAP Staff Plugin Provider)」をクリックします。
    2. 「追加プロパティー」の下の「スタッフ・プラグイン構成 (Staff Plugin Configuration)」をクリックします。
    3. 「LDAP スタッフ・プラグイン構成サンプル (LDAP Staff Plugin Configuration sample)」をクリックします。
    4. 「追加プロパティー」の下の「カスタム・プロパティー (Custom properties)」をクリックします。
    5. BaseDN プロパティーの値を、ステップ 1.gBase Distinguished Name (DN) に入力した同じ値に設定します。
    6. ProviderURL の値を LDAP サーバーの URL に設定します。 例えば ldap://host:port。ここで、host および port は、ステップ 1.e および 1.f で入力した値です。
    7. 「OK」をクリックして、変更を保管します。
  11. J2EE コネクター・アーキテクチャー (J2C) の認証データ入力を変更します。
    1. 管理コンソールで、「セキュリティー (Security)」 > 「グローバル・セキュリティー (Global Security)」をクリックします。
    2. 「JAAS 構成 (JAAS Configuration)」で、「J2C 認証データ (J2C Authentication data)」をクリックします。
    3. 各ユーザー別名を変更し、ユーザー ID およびパスワードを、LDAP ユーザー・レジストリーで定義される有効なユーザーID の値に設定します。データベースの別名は変更しないでください。
    4. 変更を保管します。
  12. サーバーを再始動します。
    • ND の場合: クラスター、すべてのノード・エージェント、およびデプロイメント・マネージャーを停止して再始動します。
    • 単一サーバーの場合: サーバーを再始動します。
    注: ステップ 1.c で指定したサーバー・ユーザー ID を使用して、サーバー、ノード・エージェント、およびデプロイメント・マネージャーを停止します。
  13. Business Process Choreographer アプリケーションが稼働していることを確認します。
    1. 管理コンソールで、「アプリケーション」 > 「エンタープライズ・アプリケーション」をクリックします。
    2. アプリケーション BPEContainer_node_server、 および TaskContainer_node_server が実行していることを確認します。

結果

これで、すべてのスタッフ照会が、選択された LDAP サーバーに対して実行されます。

(c) Copyright IBM Corporation 2005, 2006. All rights reserved.
(c) Copyright IBM Japan 2006
このインフォメーション・センターでは、Eclipse テクノロジー (http://www.eclipse.org) が採用されています。