WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化
このトピックは、i5/OS オペレーティング・システムにのみ適用されます。

Enterprise Identity Mapping の構成

iSeries Navigator を使用して、Enterprise Identity Mapping (EIM) を構成し ID トークン接続ファクトリーと一緒に使用します。

始める前に

以下のステップの場合、Lightweight Directory Access Protocol (LDAP) ディレクトリー・サーバーである EIM コントローラーがローカル・ディレクトリー・サーバーであること、およびこのコントローラーが EIM 用に構成された iSeries サーバー上にあることを前提としています。EIM について詳しくは、Enterprise Identity Mapping を参照してください。

このタスクを実行するには、LDAP サーバー管理者の識別名 (DN) およびパスワードが必要です。

ヒント: サーバーは、1 度に 1 つの EIM ドメインのみに参加することができます。サーバーが既に EIM ドメインに結合されておりドメインがドメイン管理に追加されている場合、そのドメインを使用して、 EIM 内でのソース・ユーザー・レジストリー定義の作成 にスキップします。

プロシージャー

  1. ID トークン接続ファクトリーでは、EIM ドメインを構成する必要があります。
    EIM 内のドメインの作成:
    注: マシンの設定により、 以下のステップはわずかに異なる順序で表示されることがあります。このことは、LDAP が既に構成されていること、 およびネットワーク認証サービスが構成されていないことを前提とします。
    1. LDAP サーバーが開始していることを確認します。 LDAP サーバー管理者の識別名 (DN) およびパスワードを確認することができます。ただし、その後 LDAP はウィザードにより停止させられることに留意してください。
    2. iSeries Navigator で、「server_name」>「ネットワーク」 >「Enterprise Identity Mapping」を展開します。ここで、server_name は、使用している iSeries サーバーの名前です。
    3. Enterprise Identity Mapping」をクリックします。
    4. Configuration」を右クリックして、「Configure」を選択して EIM Configuration ウィザードを開始します。
      注: システム上で EIM が事前に構成されている場合、このオプションは、「Reconfigure」と表示されます。
    5. ウィザードのようこそページで、「Create and join a new domain」を選択します。
    6. 次へ」をクリックします。
    7. 「Specify EIM Domain Location」ページで、「On the local Directory server」を選択し、「次へ」をクリックします。
    8. シングル・サインオン環境を設定するためにネットワーク認証サービスがシステム上で構成されていない場合、「Configure Network Authentication Service」ページが表示されます。EIM ID トークン接続ファクトリーには、 ネットワーク認証サービスは必要ありません。「いいえ」を選択して、「次へ」をクリックします。
    9. 「Specify User for Connection」ページで、LDAP 管理者の識別名およびパスワードを指定して、 ウィザードが EIM ドメインおよびその中のオブジェクトを管理するのに十分な権限を持つようにします。「次へ」をクリックします。
      注: EIM Configuration ウィザードを使用する前にローカル・ディレクトリー・サーバーを構成していない場合、 代わりに「Configure Directory Server」ページが表示されます。このページを使用して LDAP 管理者の識別名およびパスワードを指定して、 この手順の次のステップに進みます。LDAP 識別名 (DN) は、ディレクトリー・サーバーの LDAP 管理者を識別します。EIM Configuration ウィザードは、 この LDAP 管理者の DN を作成します。また、これを使用して、作成中の新規ドメインのドメイン・コントローラーとしてディレクトリー・サーバーを構成します。
    10. 「Specify Domain」ページ上で、EIM ドメインの名前を指定して、「次へ」をクリックします。
    11. 「Specify Parent DN for Domain」ページ上で、「はい」を選択して作成中のドメインの親 DN を指定するか、または「いいえ」を指定して、EIM ドメイン名から取得した名前を持つサフィックスを指定してディレクトリー・ロケーションに EIM データを保管します。「次へ」をクリックします。
    12. LDAP サーバーを停止する必要があることを示すメッセージが表示されます。「はい」をクリックして先へ進みます。
    13. 「Registry Information」ページで、「Local OS/400」を選択して「次へ」をクリックします。
    14. 「Specify EIM System User」ページ上で、ユーザー・タイプに「Distinguished name and password」を選択し、ディレクトリー・サーバー管理者の DN およびパスワードを指定します。 また、任意で DN およびパスワードを確認します。「次へ」をクリックします。
    15. 要約パネルで、指定した構成情報を確認します。すべての情報が正しい場合は、「終了」をクリックします。.
  2. ドメイン管理へのドメインの追加。
    1. iSeries Navigator で、「system_name」>「ネットワーク」 >「Enterprise Identity Mapping」>「ドメイン管理 (Domain Management)」を展開します。
    2. Domain Management」を右クリックして、「Add Domain」を選択します。
    3. 「Add Domain」ダイアログで、以前に作成したドメインを指定して、「OK」をクリックします。
  3. EIM 内のソース・ユーザー・レジストリー定義の作成。

    ID トークン接続ファクトリーでは、EIM 内のソース・ユーザー・レジストリー定義エントリーが必要です。ソース・ユーザー・レジストリー定義は、WebSphere Application Server が認証に使用するレジストリーを示します。このレジストリーは、ローカル OS レジストリーまたは LDAP レジストリーにすることができます。

    1. iSeries Navigator で、「system_name」>「ネットワーク」 >「Enterprise Identity Mapping」>「ドメイン管理 (Domain Management)」>「domain_name」> 「ユーザー・レジストリー」を展開します。
    2. LDAP サーバー・パスワードの入力を促された場合は、パスワードを指定して「OK」をクリックします。
    3. User Registries」を右クリックして、「Add Registry」>「System」を選択して、レジストリーをドメインに追加する構成ウィザードを開始します。

      レジストリーの名前とタイプを指定します。アプリケーション・サーバーが iSeries サーバー上でホストされており、 ローカル OS のユーザー・レジストリーを使用するように構成されている場合、EIM ユーザー・レジストリー・タイプに OS/400 を選択します。 アプリケーション・サーバーが LDAP ユーザー・レジストリーを使用するように構成されている場合、EIM レジストリー・タイプとして LDAP - short name を入力します。

      注: i5/OS V5R4 より前のリリースでは、LDAP - short name の代わりに、 1.3.18.02.33.14-caseIgnore を使用します。値 1.3.18.02.33.14-caseIgnore は、ユーザー・レジストリー・タイプの ObjectIdentifier-normalization 形式であり、 プリンシパルは LDAP ショート・ネーム属性により識別されます。ウィザードでは、このレジストリー・タイプの記述名は処理されません。
    4. OK」をクリックします。
  4. EIM でのユーザー ID の作成。

    ID トークン接続ファクトリーでは、 ユーザー ID のエントリーが必要です。これは、EIM 内の EIM ID と同じです。 ユーザー ID のエントリーは、アプリケーションのユーザーを示します。

    1. iSeries Navigator で、「system」>「ネットワーク」>「Enterprise Identity Mapping」 >「ドメイン管理 (Domain Management)」>「domain」>「ID」を展開します。
    2. Identifiers」を右クリックして、「New Identifier」を選択します。
    3. ID 名 (フルネームなど) を入力して、「OK」をクリックします。
  5. ユーザー ID の EIM 内のターゲット関連の作成。

    ターゲット関連は、以前に作成した ID のターゲット iSeries サーバー上のユーザー・プロファイルを示します。

    1. iSeries Navigator で、「system」>「ネットワーク」>「Enterprise Identity Mapping」 >「ドメイン管理 (Domain Management)」>「domain」>「ID」を展開します。
    2. 以前に作成したユーザーの「Application Identifier」をダブルクリックします。
    3. Associations」タブをクリックします。
    4. 追加」をクリックします。
    5. ユーザー・フィールドで EIM ID の i5/OS ユーザー・プロファイルを指定して、「OK」をクリックします。
    6. OK」をクリックして関連を保管します。
  6. ユーザー ID の EIM 内のソース関連の作成。

    ソース関連は、WebSphere Application Server への認証に使用されます。

    1. iSeries Navigator で、「system」>「ネットワーク」>「Enterprise Identity Mapping」 >「ドメイン管理 (Domain Management)」>「domain」>「ID」を展開します。
    2. 以前に作成したユーザーの「Application Identifier」をダブルクリックします。
    3. Associations」タブをクリックします。
    4. 追加」をクリックします。
    5. 参照」をクリックして、WebSphere Application Server のユーザー・レジストリーを選択します。
    6. WebSphere Application Server のユーザー ID (my_id など) を指定します。
    7. Source」を選択します。
    8. OK」をクリックして、新規の関連を追加します。
    9. OK」をクリックして関連を保管します。
  7. オプション: EIM ドメイン・コントローラーへの接続をテストします。

    idsldapsearch コマンドを使用して、EIM ドメイン・コントローラーへの接続をテストします。 例えば、 LDAP サーバーが my_server ホストに配置されている場合、EIM ドメイン名は My_EIM_Domain であり、ソース・ユーザー・レジストリーは WAS Registry です。接続をテストするステップは、以下のとおりです。

    1. WebSphere Application Server プロファイルをホストする iSeries サーバーにログオンします。
    2. CL コマンド行から、QSH を指定して Enter キーを押します。
    3. 以下のコマンドを指定して、Enter キーを押します。
      idsldapsearch -h my_server -p 389 -D cn=administrator 
      -w secret -b "ibm-eimDomainName=My_EIM_Domain" 
      "ibm-eimRegistryName=WAS_Registry"
      
      各部の意味は、次のとおりです。
      • my_server は、LDAP サーバーのホスト・サーバーの名前です。
      • 389 は、LDAP サーバーが使用するポートです。
      • cn=administrator は、LDAP 管理者の LDAP DN です。
      • secret は、LDAP 管理者のパスワードです。
      • ibm-eimDomainName=My_EIM_Domain は、EIM ドメイン名エントリーの LDAP DN です。

      上記の行が複数行に分割されているのは、単に例を示すためだけです。 このコマンドは、1 つの連続した行として指定してください。

      この例では、EIM ドメインの親の名前はありません。EIM ドメインの 親の名前 (dc=myserver,dc=ibm,dc=com など) が存在する場合、LDAP DN は、ibm-eimDomainName=My_EIM_Domain,dc=myserver,dc=ibm,dc=com です。

結果

予期出力は、次の例のようになります。

ibm-eimRegistryName=WAS Registry,cn=Registries,ibm-eimdomainname=My_EIM_Domain
   objectclass=top
   objectclass=ibm-eimRegistry
   objectclass=ibm-eimSystemRegistry
   ibm-eimRegistryName=WAS_Registry
   ibm-eimRegistryType=1.3.18.0.2.33.9-caseIgnore
   description=Example Registry for WebSphere Application Server

次の作業

EIM ID トークン接続ファクトリーを構成します。Enterprise Identity Mapping ID トークン接続ファクトリーの構成 を参照してください。



関連タスク
Enterprise Identity Mapping ID トークン接続ファクトリーの構成
Enterprise Identity Mapping サンプル・アプリケーションのデプロイ
Enterprise Identity Mapping を使用したシングル・サインオン機能の構成
関連資料
Enterprise Identity Mapping のトラブルシューティングのヒント
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/tsec_idtokenconfigeim.html