LDAP のインストールと構成

Lightweight Directory Access Protocol (LDAP) サーバーは、Directory Services for IBM i 製品の IBM i の一部としてアクセスできます。このサーバーは、LDAP プロトコルを使用しているネットワーク・クライアントがアクセスできるネットワーク・ディレクトリーを提供します。LDAP は、X.500 のようなディレクトリーにあるデータにアクセスするためにクライアントが使用するメッセージの転送と形式を定義します。LDAP がディレクトリー・サービス自体を定義するわけではありませんが、LDAP を使用してアクセスするディレクトリーは通常、LDAP ディレクトリーと呼ばれます。

ディレクトリー・サーバーは、IBM i 統合ファイル・システムの編成方式と類似した階層構造で情報を格納するタイプのデータベースへのアクセスを可能にします。LDAP ディレクトリー・サーバー・モデルは、名前やアドレス、およびタイプなど 1 つ以上の属性から成るエントリーを基礎にしています。これらの属性は通常、簡略されたストリングから成ります (例えば、common name の場合は cn、e-mail address の場合は mail など)。エントリーが LDAP にどのように格納されるかについては、下記の例を参照してください。

EIM を構成するには、IBM i システムで LDAP を構成する必要があります。EIM 構成情報は LDAP ディレクトリーに格納されます。ここで説明したことは、LDAP のインストールと構成の基本ステップです。LDAP の使用について詳しくは、IBM i Information Center で「ネットワーキング > TCP/IP > ディレクトリー・サービス (LDAP)」を参照してください。他のオペレーティング・システムでも LDAP を使用できますが、ここでは IBM i システムでの構成についてのみ説明します。

注: 有効な LDAP ID があれば、アプリケーションを保護する際に保護ページを使用できますが、シングル・サインオンを使用するためには、EIM ユーザー ID を、その LDAP ID に (ソース ID として) 関連付け、また、ターゲット IBM i プロファイルにも (ターゲット ID として) 関連付ける必要があります。

デフォルト構成を使用すれば、ディレクトリー・サーバーは IBM i とともにインストールされます。ディレクトリー・サーバーを再構成するには、*ALLOBJ および *IOSYSCFG 権限が必要です。LDAP を構成するには、次のようにします。

  1. IBM i ナビゲーターを使用して、「ネットワーク」 > 「サーバー」 > 「TCP/IP」と展開していきます。
  2. 「ディレクトリー・サーバー」を右クリックし、「停止」を選択します。
  3. 「ディレクトリー」を右クリックし、「構成」を選択します。 すでにディレクトリー・サーバーを構成している場合は、「再構成」を選択してください。
  4. 「ディレクトリー・サーバーの構成」ウィザードを使用して、ディレクトリー・サーバーを構成します。 識別名 (または接尾部) など、構成時に使用する設定を書き留めておいてください。これらの値の一部は、アプリケーションのセキュリティーを使用可能にするときに必要になります。

    ウィザードが完了すると、ディレクトリー・サーバーは基本構成でセットアップされます。LDAP の構成の詳細については、IBM i Information Center で「ネットワーキング > TCP/IP > ディレクトリー・サービス (LDAP)」を参照してください。

ディレクトリー・サーバーの構成が完了したら、次のいずれかの方法によってエントリーを LDAP ディレクトリーに追加できます。
  • IBM i ナビゲーターを使用して、「ディレクトリー・サーバー」を右クリックし、「ツール」 > 「インポート」を選択。これで、前に作成した LDIF (Lightweight Directory Interchange Format) ファイルからディレクトリー・エントリーをインポートできるようになります。
  • IBM i で、Qshell から ldapadd コマンドを使用。
  • Directory Management Tool を使用してエントリーを追加。Directory Management Tool は IFS (¥QIBM¥ProdData¥OS400¥DirSrv¥User Tools¥Windows¥setup.exe) にあります。
以下は、2 つのエントリーを含む簡単な LDAP ファイルの例です。
   dn: cn=John S. Day, ou=Rochester, o=Big Company, c=US
   objectclass: top
   objectclass: person
   objectclass: organizationalPerson
   cn: John Day
   sn: Day
   uid: johnday
   telephonenumber: +1 408 555 1212
   description: A big sailing fan.
 
   dn: cn=Bjorn Jensen, ou=Rochester, o=Big Company, c=US
   objectclass: top
   objectclass: person
   objectclass: organizationalPerson
   cn: Bjorn Jensen
   sn: Jensen
   uid: bjenson
   telephonenumber: +1 408 555 1212
   description:Babs is a big sailing fan, and travels extensively in 
   search of perfect sailing conditions.
   title:Product Manager, Rod and Reel Division

LDAP エントリーの追加の詳細については、IBM i Information Center で「ネットワーキング > TCP/IP > ディレクトリー・サービス (LDAP)」を参照してください。