スタンドアロン LDAP レジストリー設定

ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリーに 置かれている場合に、このページを使用して LDAP 設定を構成します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。

セキュリティーが使用可能になっていて、これらのプロパティーのいずれかを変更した場合は、 「グローバル・セキュリティー」パネルに移動し、「適用」をクリックして変更を有効にします。

WebSphere® Application Server バージョン 6.1 は、 環境を管理する管理者のユーザー ID とサーバー間通信を認証するためのサーバー ID を区別します。 ほとんどの場合、 サーバー ID は自動的に生成され、リポジトリーに保管されません。

[AIX Solaris HP-UX Linux Windows] ただし、バージョン 5.0.x または 6.0.x のノードを、 バージョン 6.1 セルに追加する場合、 バージョン 5.x またはバージョン 6.0.x のサーバーの ID と パスワードが、 このセルのリポジトリーで定義されていることを確認する必要があります。 サーバーのユーザー ID およびパスワードをこのパネルで入力してください。

自動的に生成されたサーバー ID

アプリケーション・サーバーを使用可能にして、サーバー ID を生成します。 この方法は、バージョン 6.1 以降のノードのみを含む環境の場合にお勧めします。 自動的に生成されたサーバー ID は、ユーザー・リポジトリーには保管されません。

「認証メカニズムおよび有効期限」パネルでこのサーバー ID を変更することができます。「認証メカニズムおよび有効期限」パネルにアクセスするには、 「セキュリティー」>「グローバル・セキュリティー」> 「認証メカニズムおよび有効期限」をクリックします。「Internal server ID」フィールドの値を変更します。

デフォルト: 使用可能
リポジトリーに保管されたサーバー ID [AIX Solaris HP-UX Linux Windows] [iSeries]

内部プロセス通信に使用されるリポジトリー内のユーザー ID を指定します。 バージョン 5.x または 6.0.x のノードを含むセルでは、 アクティブ・ユーザー・リポジトリーで定義される、 サーバー・ユーザー ID が必要になります。

デフォルト: 使用可能
バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー [AIX Solaris HP-UX Linux Windows]

セキュリティー目的でアプリケーション・サーバーを実行する際に使用するユーザー ID を指定します。

パスワード [AIX Solaris HP-UX Linux Windows]

サーバー ID に対応するパスワードを指定します。

「構成」タブ

プライマリー管理ユーザー名

ご使用のカスタム・ユーザー・レジストリーで定義される、管理特権を持ったユーザーの名前を指定します。

管理セキュリティーが使用可能である場合は、ユーザー名は管理コンソールへのログオンに使用されます。 バージョン 6.1 では、管理アクションの監査を可能にするために、サーバーのユーザー ID とは異なる管理ユーザーが必要です。
重要: WebSphere Application Server バージョン 5.x および 6.0.x では、単一のユーザー ID が管理アクセスおよび内部プロセス通信の両方に対して必要です。 バージョン 6.1 にマイグレーションする場合は、この ID はサーバーのユーザー ID として使用されます。 管理ユーザー ID には、別のユーザーを指定する必要があります。
LDAP サーバーのタイプ

接続する LDAP サーバーのタイプを指定します。

[AIX Solaris HP-UX Linux Windows] [iSeries] IBM® SecureWay® Directory Server はサポートされていません。

[z/OS] IBM SecureWay Directory Server は、 Application Server for z/OS® および多くの LDAP サーバーでもサポートされています。

ホスト

LDAP サーバーのホスト ID (IP アドレスまたはドメイン・ネーム・サービス (DNS) 名) を指定します。

ポート

LDAP サーバーのホスト・ポートを指定します。

複数のアプリケーション・サーバーをインストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、またはアプリケーション・サーバーを以前のバージョンと相互運用する場合は、すべての構成でポート番号が一致していることが重要です。例えば、LDAP ポートをバージョン 4.0.x 構成で明示的に 389 と指定し、WebSphere Application Server バージョン 5 をバージョン 4.0.x のサーバーと相互運用する場合は、バージョン 5 のサーバーでポート番号 389 が明示的に指定されていることを検証してください。
デフォルト: 389
タイプ: 整数
基本識別名 (DN)

ディレクトリー・サービスの基本識別名 (DN) を指定します。 これは、ディレクトリー・サービスの LDAP 検索の開始点を表します。 ほとんどの場合、バインド DN とバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。

例えば、ユーザーの識別名が cn=John Doeou=Rochestero=IBMc=US の場合、 基本識別名は、ou=Rochestero=IBMc=US または o=IBM c=US または c=US のいずれかに指定します。許可を目的として、このフィールドでは大/小文字の区別が行われます。 例えば、別のセルまたは Lotus® Domino® からトークンを受け取った場合、サーバー内の基本 DN は、別のセルまたは Lotus Domino サーバーから受け取った基本 DN と正確に一致する必要があるということを、 この指定は暗黙指定します。許可の際に大/小文字の区別を考慮する必要がない場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にしてください。 このオプションは、Lotus Domino Directory、IBM Tivoli® Directory Server V6.0、および Novell eDirectory の場合を除き (この場合はこのフィールドはオプション)、すべての Lightweight Directory Access Protocol (LDAP) ディレクトリーで必須です。

アプリケーション・サーバーのバージョン 5 とバージョン 5.0.1 以降のサーバー間で相互運用する必要がある場合は、正規化された基本 DN を入力する必要があります。正規化された基本 DN では、コンマおよび等号の前後にスペースが含まれません。 正規化されていない基本 DN の場合は、例えば o = ibm, c = us または o=ibm, c=us のように表記されます。正規化されている基本 DN の場合は、o=ibm,c=us のように表記されます。 WebSphere Application Server バージョン 5.0.1 以降では、 正規化は実行時に自動的に行われます。

バインド識別名 (DN)

アプリケーション・サーバーがディレクトリー・サービスにバインドするために使用する DN を指定します。

名前を指定しない場合、アプリケーション・サーバーは匿名でバインドされます。 識別名の例については、「基本識別名 (DN)」フィールドの説明を参照してください。

バインド・パスワード

アプリケーション・サーバーがディレクトリー・サービスにバインドするために使用するパスワードを指定します。

検索タイムアウト

要求が停止される前に Lightweight Directory Access Protocol (LDAP) サーバーが応答するタイムアウト値を、秒単位で指定します。

デフォルト: 120
接続の再利用

サーバーが LDAP 接続を再利用するかどうかを指定します。このオプションをクリアするのは、ごくまれな状況に限られます。 例えば、要求を複数の LDAP サーバーに分配するためにルーターが使用されるとき、 およびルーターが類縁性をサポートしないとき、などに限られます。

デフォルト: 使用可能
範囲: 使用可能または使用不可
重要:接続の再利用」オプションを使用不可にすることによって、アプリケーション・サーバーは LDAP 検索要求ごとに新規の LDAP 接続を作成できます。ご使用の環境で拡張 LDAP 呼び出しが必要な場合、この状態はシステム・パフォーマンスに影響します。 このオプションが提供されているのは、ルーターが要求を同一の LDAP サーバーに送信しないためです。 このオプションは、アプリケーション・サーバーと LDAP の間のアイドル接続タイムアウト値またはファイアウォール・タイムアウト値が小さすぎる場合にも使用されます。

LDAP フェイルオーバーのために WebSphere Edge Server を使用する場合は、Edge Server で TCP リセットを使用可能にする必要があります。TCP リセットにより、接続は即時にクローズし、 バックアップ・サーバーはフェイルオーバーします。 詳しくは、「Sending TCP resets when server is down』http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER」 および「ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf の「Edge Server V2 - TCP Reset feature in PTF #2」を参照してください。

許可検査で大/小文字を区別しない

デフォルトの許可を使用する場合に、 許可検査で大/小文字を区別しないよう指定します。

このオプションは、IBM Tivoli Directory Server が LDAP ディレクトリー・サーバーとして選択されている場合には必須です。

このオプションは、Sun ONE Directory Server が LDAP ディレクトリー・サーバーとして選択されている場合には必須です。 詳しくは、資料中の『特定のディレクトリー・サーバーの LDAP サーバーとしての使用』を参照してください。

このオプションはオプショナルであり、許可検査で大/小文字の区別が必要な場合に使用可能にすることができます。例えば、 証明書および証明書の内容の大/小文字が LDAP サーバーのエントリーと一致しない場合に、このオプションを使用します。 アプリケーション・サーバー と Lotus Domino 間でシングル・サインオン (SSO) を使用している場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にできます。

デフォルト: 使用可能
範囲: 使用可能または使用不可
SSL 使用可能

Lightweight Directory Access Protocol (LDAP) サーバーに対してセキュア・ソケット通信を使用可能にするかどうかを指定します。

使用可能にすると、LDAP Secure Sockets Layer (SSL) の設定値が指定されている場合には、その設定値が使用されます。

中央管理対象

SSL 構成の選択が、Java™ Naming and Directory Interface (JNDI) プラットフォームのアウトバウンド・トポロジー表示をベースにすることを指定します。

中央管理構成は、SSL 構成を構成文書に広げるのではなく、SSL 構成を保守するために 1 つのロケーションをサポートします。

デフォルト: 使用可能
特定 SSL 別名の使用

LDAP アウトバウンド SSL 通信に使用する SSL 構成別名を指定します。

このオプションは、JNDI プラットフォームの中央管理構成をオーバーライドします。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
スタンドアロン LDAP レジストリー・ウィザード設定


ファイル名: usec_singleldaprepos.html