WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

特定のディレクトリー・サーバーの LDAP サーバーとしての使用

ここでは、WebSphere Application Server の Lightweight Directory Access Protocol (LDAP) サーバーとしてサポートされるディレクトリー・サーバーに関する重要な情報が記載されています。

始める前に

この製品のユーザー・レジストリーでは、Microsoft Active Directory forest はサポートされていません。

このタスクについて

サポートされる LDAP サーバーのリストについては、 Supported hardware and software Web site を参照してください。

その他の LDAP サーバーが LDAP 仕様に従うことが予想されます。 サポートの対象となるのは、 これらの特定のディレクトリー・サーバーのみに限定されます。 他のディレクトリー・サーバーを使用するには、リストでカスタム・ディレクトリー・タイプを選択し、 そのディレクトリーに必要なフィルターを入力します。

LDAP 検索のパフォーマンスを向上させるため、 IBM Tivoli Directory Server、Sun ONE、および Active Directory のデフォルト・フィルターは、 ユーザーを検索するときに、そのユーザーに関するすべての関連情報 (ユーザー ID、グループなど) が 検索結果に含まれるように定義されています。 結果として、製品は LDAP サーバーを複数回呼び出しません。この定義は、上記のディレクトリー・タイプの場合に限られ ます。これらのサポートでは、ユーザーに関する完全な情報が入手できる場所を検索するためです。

IBM Directory Server を使用する場合には、「許可検査で大/小文字を区別しない」オ プションを選択します。 このオプションが必要なのは、グループ情報がユーザー・オブジェクト属性から得られる場合、グループ情報を直接入手した場合とは 大/小文字の使い分けが異なるためです。このような場合に許可を機能させるためには、 大文字小文字を区別しないで許可検査を行い、 「許可検査で大/小文字を区別しない」 オプションの要件を確認します。

[z/OS] DB2 Technical Database Management (TDBM) のバックエンドが使用される場合は、 LDAP Security Server for the z/OS プラットフォームがサポートされます。LDAP Security Server for the z/OS に接続するためには、SecureWay Directory Server フィルターを使用してください。

  • [i5/OS] LDAP サーバーとしてのディレクトリー・サービスの使用

    ディレクトリー・サービスは i5/OS バージョン 5 リリース 3 で提供されており、IBM Tivoli Directory Server ファミリー製品および サービスの 1 つです。i5/OS バージョン 5 リリース 3 以降では、ディレクトリー・サービスを使用するためにユーザー・レジストリーを 構成する際に、IBM Tivoli Directory Server をディレクトリー・タイプに指定します。

    他のグループやネストされたグループを含むグループへのサポートは、WebSphere Application Server および LDAP のバージョンによって異なります。詳しくは、動的グループとネストされたグループのサポート を参照してください。

  • IBM Tivoli Directory Server の LDAP サーバーとしての使用

    [AIX HP-UX Linux Solaris Windows] [i5/OS] IBM Tivoli Directory Server (以前の IBM Directory Server) を使用するには、ディレクトリー・タイプに IBM Tivoli Directory Server を選択します。

    [z/OS] IBM Directory Server には、IBM Tivoli Directory ServerSecureWay のいずれかのディレクトリー・タイプを選択できます。

    これらの 2 つのタイプでは、グループ・メンバーシップの検索方法が異なります。 実行時に最適なパフォーマンスを実現するには、IBM Tivoli Directory Server の選択をお勧めします。IBM Tivoli Directory Server では、グループ・メンバーシップは運用属性です。この属性では、グループ・メンバーシップの検索は、 エントリーの ibm-allGroups 属性を列挙して行われます。すべてのグループ・メンバーシップ (静的グループ、動的グループ、およびネストされたグループを含む) を、ibm-allGroups 属性を使用して戻すことができます。

    WebSphere Application Server は、ibm-allGroups 属性を使用して、 IBM Tivoli Directory Server で動的グループ、ネストされたグループ、および静的グループをサポートします。 セキュリティー許可を行うアプリケーションでこの 属性を利用するには、ibm-allGroups が戻す属性値がすべて大文字となるように、大/小文字を区別しない突き合わせを 使用します。

    重要: WebSphere Application Server バージョン 6.1 と IBM Tivoli Directory Server バージョン 6.0 を 同じマシンにインストールしないことをお勧めします。 IBM Tivoli Directory Server バージョン 6.0 には、 ディレクトリー・サーバーが管理コンソールに使用する WebSphere Application Server Express バージョン 5.1.1 が組み込まれます。 IBM Tivoli Directory Server バージョン 6.0 とバンドルされている Web 管理ツール バージョン 6.0 および WebSphere Application Server Express バージョン 5.1.1 を、 WebSphere Application Server バージョン 6.1 とは異なるマシンにインストールしてください。 WebSphere Application Server バージョン 6.1 を IBM Tivoli Directory Server の 管理コンソールとして使用することはできません。IBM Tivoli Directory Server バージョン 6.0 と WebSphere Application Server バージョン 6.1 が同じマシンに インストールされている場合、ポートの競合が発生することがあります。

    IBM Tivoli Directory Server バージョン 6.0 と WebSphere Application Server バージョン 6.1 を同じマシンにインストールする必要がある場合は、 次の情報を参考にしてください。

    • IBM Tivoli Directory Server のインストール・プロセス中に、 Web 管理ツールおよび WebSphere Application Server Express バージョン 5.1.1 の両方を選択する必要があります。
    • WebSphere Application Server バージョン 6.1 をインストールします。
    • WebSphere Application Server バージョン 6.1 をインストールする際に、 アプリケーション・サーバーのポート番号を変更します。
    • WebSphere Application Server バージョン 6.1 の WebSphere Application Server 環境変数、WAS_HOME および WAS_INSTALL_ROOT (i5/OS の場合は APP_SERVER_ROOT) の調整が必要な場合があります。 管理コンソールを使用して変数を変更するには、「環境」>「WebSphere 変数」とクリックします。
  • Lotus Domino Enterprise Server の LDAP サーバーとしての使用
    Lotus Domino Enterprise Server バージョン 6.5.4 またはバージョン 7.0 を選択した場合に、 属性のショート・ネームがスキーマに定義されていない場合には、以下のいずれかの処置を行うことができます。
    • スキーマを変更してショート・ネーム属性を追加します。
    • ユーザー ID マップ・フィルターを変更して、ショート・ネームを定義された他の属性 (UID への変更が推奨されます) と置き換えます。 例えば、person:shortnameperson:uid に変更します。
    userID マップ・フィルターは、shortname 属性の代わりに uid 属性を 使用するように変更されました。これは Lotus Domino の現行バージョンがデフォルトで shortname 属性を 作成しないためです。shortname 属性を使用する場合は、スキーマ内で属性を 定義し、userID マップ・フィルターを変更します。

    User ID Map :    person:shortname

  • Sun ONE Directory Server の LDAP サーバーとしての使用
    ご使用の Sun ONE Directory Server システム用の Sun ONE Directory Server を選択できます。Sun ONE Directory Server でグループを作成する場合、オブジェクト・クラス はデフォルトで groupOfUniqueName になります。 より良いパフォーマンスのために、WebSphere Application Server はユーザー・オブジェクトを 使用して、nsRole 属性からユーザー・グループ・メンバーシップを検索します。 役割からグループを作成します。groupOfUniqueName 属性を使用してグループを検索する場合、 独自のフィルター設定を指定します。 役割はエントリーを一元化します。 役割は、アプリケーションでより効率良く、容易に使用できるように設計されています。例えば、 グループを選択しメンバー・リストを参照して検索するのではなく、所定のエントリーが所有するすべての役割を列挙することによって、アプリケーションはエントリーの役割を検索できます。役割を使用すると、以下を使用してグループを作成できます。
    • 管理対象の役割
    • フィルタリングされた役割
    • ネストされた役割
    これらの役割のすべてが nsRole 属性によって計算可能です。
  • Microsoft Active Directory サーバーの LDAP サーバーとしての使用

    WebSphere Application Server での認証用の LDAP サーバーとして Microsoft Active Directory を使用する には、特定のステップを実行する必要があります。デフォルトでは、Microsoft Active Directory で匿名の LDAP 照会を実行できません。 LDAP 照会を作成したりディレクトリーを参照したりするためには、 LDAP クライアントは、Application Server で必要な LDAP 属性の値 (ユーザー情報、 グループ情報など) を検索して読み取る権限のあるアカウントの識別名 (DN) を 使用して、LDAP サーバーにバインドしなければなりません。 Active Directory の場合、グループ・メンバーシップの検索は、各グループのメンバー・リストを参照して行われるのではなく、所定のユーザー・エントリーの memberof 属性を列挙して行われます。 このデフォルトの動作を変更して各グループを参照するには、「グループ・メンバー ID マップ」フィールドを memberof:member から group:member に変更します。

以下のステップでは、Microsoft Active Directory を LDAP サーバーとしてセットアップする方法について説明します。

プロシージャー

  1. 管理者グループ内のアカウントの完全識別名 (DN) とパスワードを決定します。
    [AIX HP-UX Linux Solaris Windows] [i5/OS] 例えば、Active Directory の管理者が、Windows のコントロール パネルの「Active Directory ユーザーとコンピューター」の「ユーザー」フォルダーにアカウントを作成し、その DNS ドメインが ibm.com の場合、結果として DN の構造は以下のようになります。
    cn=<adminUsername>, cn=users, dc=ibm, 
    dc=com
    
  2. Microsoft Active Directory 内のすべてのアカウントのショート・ネームとパスワードを決定します。
  3. WebSphere Application Server 管理コンソールを使用して、Microsoft Active Directory の使用に必要な情報を以下のようにセットアップしてください。
    1. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」とクリックします。
    2. 「ユーザー・アカウント・リポジトリー」の下で、「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
    3. LDAP サーバーのタイプとして、Active Directory で LDAP をセットアップします。 前のステップで決定した情報に基づいて、LDAP 設定パネルで次の値を指定できます。
      Primary administrative user name
      レジストリー内で定義される、管理特権を持つユーザーの名前を指定します。 このユーザー名は、管理コンソールにアクセスする場合、または wsadmin により使用されます。
      タイプ
      Active Directory を指定します
      ホスト
      Microsoft Active Directory を実行しているマシンのドメイン・ネーム・サービス (DNS) 名を指定します。
      基本識別名 (DN)
      ステップ 1 で選択したアカウントの DN のドメイン・コンポーネントを指定します。 例: dc=ibm, dc=com
      バインド識別名 (DN)
      ステップ 1 で選択したアカウントの完全な識別名を指定します。例: cn=adminUsername, cn=users, dc=ibm, dc=com
      バインド・パスワード
      ステップ 1 で選択したアカウントのパスワードを指定します。
    4. OK」および「保管」をクリックして、変更をマスター構成に保管します。
  4. セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」とクリックします。
  5. 「ユーザー・アカウント・リポジトリー」の下で、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、「構成」をクリックします。
  6. Automatically generated server identity」または「Server identity that is stored in the repository」のいずれかのオプションを選択します。Server identity that is stored in the repository」オプションを選択した場合は、以下の情報を入力します。
    バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー。
    ステップ 2 で選択したアカウントのショート・ネームを指定します。
    サーバー・ユーザー・パスワード
    ステップ 2 で選択したアカウントのパスワードを指定します。
  7. オプション: LDAP のパフォーマンスを向上させるには、 「グループ・メンバー ID マップ」フィールドのフィルターに ObjectCategory を設定します。
    1. 「追加プロパティー」の下で、 「拡張 LDAP ユーザー・レジストリー設定」をクリックします。
    2. 「グループ・メンバー ID マップ」フィールドの末尾に ;objectCategory:group を追加します。
  8. OK」および「保管」をクリックして、変更をマスター構成に保管します。
  9. 変更を有効にするために、管理サーバーを停止してから、再始動します。



関連概念
スタンドアロン Lightweight Directory Access Protocol レジストリー
関連タスク
Lightweight Directory Access Protocol のユーザー・グループ・メンバーシップの検索
Lightweight Directory Access Protocol ユーザー・レジストリーの構成
関連資料
拡張 LDAP ユーザー・レジストリー設定
スタンドアロン LDAP レジストリー設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_tmsad.html