ここでは、WebSphere Application Server と Lightweight Directory Access Protocol (LDAP) サーバー
との間で Secure Sockets Layer (SSL) 接続を確立する方法について解説します。
このタスクについて
このページでは概要を示します。詳細については、リンクされたページを参照してください。
SSL の概念を理解するには、Secure Sockets Layer
を参照してください。
WebSphere Application Server と LDAP サーバーとの間で SSL 接続をセットアップするには、以下のステップが必要です。
プロシージャー
- LDAP サーバーをユーザーとともにセットアップします。
この例で構成されるサーバーは、IBM Directory Server です。
その他のサーバーは、異なる方法で構成されます。
SSL の使用可能化の詳細については、ご使用のディレクトリー・サーバーの
資料を参照してください。製品が対応している LDAP ディレクトリー・サーバーについては、
特定のディレクトリー・サーバーの LDAP サーバーとしての使用
を参照してください。
- install_dir/bin ディレクトリーにある
鍵管理ユーティリティー (ikeyman.bat) を使用して、
LDAP サーバー用の証明書を構成します。
- 「」「」をクリックします。
- 鍵データベース・タイプとして「CMS」を選択して、
ファイル名に LDAPkey.kdb と入力し、適切なパスを入力して「OK」をクリックします。
- パスワードを指定し、パスワードを確認してから、「OK」をクリックします。
- 「Key database content」の下の「Personal Certificates」を選択します。
- 「New Self-signed」をクリックします。 「Create New Self-Signed Certificate」パネルが表示されます。
フィールドに以下の必要情報を入力し、「OK」をクリックしてください。
- 鍵ラベル
- LDAP_Cert
- バージョン
- X.509 証明書のバージョンを指定します。
- 鍵サイズ
- 512 または 1024 ビットのいずれかの鍵サイズを選択します。
- 共通名
- droplet.austin.ibm.com
この共通名は、WebSphere Application Server プラグインが稼働している
ホスト名です。
- 組織
- ibm
- 国
- US
- 有効期間
- 証明書が有効な日数を指定します。
- 「Personal Certificates」パネルに戻り、「Extract Certificate」をクリックします。
- 「Base64-encoded ASCII data」データ型をクリックします。ファイル名に LDAP_cert.arm と入力し、適切なパスを入力します。
「OK」をクリックします。
- 以下のようにして、LDAP サーバーで SSL を使用可能にします。
- 以前に作成された LDAPkey.kdb、LDAPkey.sth、LDAPkey.rdb、および LDAPkey.crl の
各ファイルを LDAP サーバーのシステム (例えば、/Program Files/IBM/LDAP/ssl/ ディレクトリー) にコピーします。
- ブラウザーから LDAP Web 管理者 (例えば http://secnt3.austin.ibm.com/ldap) を開きます。
IBM HTTP Server は secnt3 で稼働しています。
- 「SSL プロパティー」をクリックして、「SSL 設定」
ウィンドウを開きます。
- 「SSL On」>「Server Authentication」とクリックして、
SSL ポート (例えば 636) と LDAPkey.kdb ファイルへの絶対パスを入力します。
- 「適用」をクリックして、LDAP サーバーを再始動します。
- デフォルトの SSL 鍵ファイルを使用して WebSphere Application Server 用の証明書を管理します。
- WebSphere Application Server に同梱されている鍵管理ユーティリティーを
使用して、install_root/profiles/default/etc/DummyServerTrustFile.jks ファイルを開きます。
パスワードは WebAS です。
重要: DummyServerTrustFile.jks ファイルを変更するよりも、
ご自身の trustfile.jks ファイルを作成することをお勧めします。
DummyServerTrustFile.jks ファイルを使用する場合、
iFixes を備えた製品を更新する際に変更した設定が上書きされてしまう可能性があります。
- 「Signer certificate」>「追加」とクリックします。
「Add CA's Certificate from a File」ウィンドウが表示されます。
ファイル名に LDAP_cert.arm を指定します。すべてのサーバーに対するこのステップを完了します。
- WebSphere Application Server 管理コンソールを使用して、
WebSphere Application Server と LDAP サーバーの間に接続を確立します。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「ユーザー・レジストリー」の下の「LDAP」をクリックします。
- 「サーバー ID」、「サーバー・パスワード」、「タイプ」、
「ホスト」、「ポート」、および「基本識別名」の各フィールドに入力します。
- 「SSL 使用可能」オプションを選択します。 ポートは、
LDAP サーバーが SSL 用に使用しているものと同じポート番号です (例えば 636)。
- 「適用」をクリックします。
- 「グローバル・セキュリティー」パネルに戻り、
「認証メカニズム」>「LTPA」>「シングル・サインオン (SSO)」とクリックします。
- 「追加プロパティー」の下の「シングル・サインオン (SSO)」をクリックします。
- ドメイン・ネーム (例えば austin.ibm.com) を入力します。
- 「適用」をクリックします。
- グローバル・セキュリティーを使用可能にします。
- 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
- 「グローバル・セキュリティーの使用可能化」オプションを選択します。
- アクティブ認証メカニズムとして「Lightweight Third Party Authentication (LTPA)」
オプションを、アクティブ・ユーザー・レジストリーとして「Lightweight Directory Access
Protocol (LDAP) ユーザー・レジストリー」オプションを選択します。
- LDAP サーバーのセキュリティー・レベルが、デフォルトの「高」に設定されている
ことを確認してください。
- 「適用」と「保管」をクリックします。
- LDAP_install_root/etc/slapd32.conf ファイルの ibm-slapdSSLCipherSpecs のパラメーターの値が、
12288 ではなく 15360 であることを確認してください。
- サーバーを再始動します。
サーバーを再始動すると、セキュリティー設定が、
デプロイメント・マネージャーとアプリケーション・サーバー間で同期化されます。
結果
https://fully_qualified_host_name:9443/snoop にアクセスして、
構成をテストできます。
ログイン・ユーザー確認が行われます。このテストは、LDAP をユーザー・レジストリーとして使用するときに効果があります。
パスワードなどの機密情報を、WebSphere Application Server と LDAP サーバー
の間で流すことができます。SSL を使用してデータを暗号化すると、
この機密情報を保護することができます。
次の作業
- セキュリティーを使用可能にする場合は、必ず以降のステップを完了してください。
最終ステップとして、「グローバル・セキュリティー」パネルで「OK」
または「適用」をクリックして、この構成を検証します。
グローバル・セキュリティーの使用可能化の詳細なステップについては、
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
の項目を参照してください。
- このパネルでの変更を有効にするには、すべての WebSphere Application Server (セル、ノード、およびすべての
アプリケーション・サーバー) を保管し、停止してから再始動します。
- サーバーが始動したら、セキュリティー関連のすべてのタスク (ユーザーの取得、
グループの取得など) を試し、フィルターに加えた変更が正常に
機能することを確認してください。