スタンドアロン LDAP レジストリー設定

ユーザーおよびグループが外部 Lightweight Directory Access Protocol (LDAP) ディレクトリーに 置かれている場合に、このページを使用して LDAP 設定を構成します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「ユーザー・アカウント・リポジトリー」において、 「使用可能なレルム定義」ドロップダウン・リストをクリックして、 「スタンドアロン LDAP レジストリー」を選択し、 「構成」をクリックします。

セキュリティーが使用可能になっていて、これらのプロパティーのいずれかを変更した場合は、 「グローバル・セキュリティー」パネルに移動し、「適用」をクリックして変更を有効にします。

WebSphere® Application Server バージョン 7.0 は、 環境を管理する管理者のユーザー ID とサーバー間通信を認証するためのサーバー ID を区別します。 ほとんどの場合、 サーバー ID は自動的に生成され、リポジトリーに保管されません。

[AIX Solaris HP-UX Linux Windows] ただし、 以前のバージョンのノードを最新バージョンのセルに追加していて、 以前のバージョンのノードがサーバー ID とパスワードを使用していた場合には、 必ず、以前のバージョンのサーバー ID とパスワードをこのセルのリポジトリーに定義するようにしてください。 サーバーのユーザー ID およびパスワードをこのパネルで入力してください。

[z/OS] トラブルの回避 (Avoid trouble): System Authorization Facility (SAF) に関連する設定がこのパネルに表示されないことがあります これらの設定を変更するには、次のようにします。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」 > 「外部許可プロバイダー」 とクリックして SAF のパネルに進みます。
  2. 許可プロバイダー・オプションの下のドロップダウン・リストから「System Authorization Facility (SAF)」を選択します。
  3. 構成」をクリックします。
gotcha
プライマリー管理ユーザー名

ご使用のユーザー・レジストリーで定義される、管理特権を持ったユーザーの名前を指定します。

管理セキュリティーが使用可能の場合、ユーザー名は管理コンソールへのログオンに使用されます。 バージョン 6.1 およびそれ以降では、管理アクションの監査を可能にするために、サーバーのユーザー ID とは異なる管理ユーザーが必要です。
重要: WebSphere Application Server バージョン 5.1 および 6.0.x では、管理アクセスおよび内部プロセス通信の両方に対して単一のユーザー ID が必要です。 バージョン 7.0 にマイグレーションする場合、この ID はサーバーのユーザー ID として 使用されます。管理ユーザー ID には、別のユーザーを指定する必要があります。
[z/OS] 注: ユーザー・レジストリーとして LDAP を構成し、SAF を使用可能にしている場合に、プロパティー com.ibm.security.SAF.authorizationtrue に設定すると、管理コンソールに「基本管理ユーザー名 (Primary administrative user name)」フィールドが表示されません。
自動的に生成されたサーバー ID

アプリケーション・サーバーを使用可能にして、サーバー ID を生成します。 この方法は、バージョン 6.1 以降のノードのみを含む環境の場合にお勧めします。 自動的に生成されたサーバー ID は、ユーザー・リポジトリーには保管されません。

デフォルト: 使用可能
リポジトリーに保管されたサーバー ID [AIX Solaris HP-UX Linux Windows] [iSeries]

内部プロセス通信に使用されるリポジトリー内のユーザー ID を指定します。バージョン 5.1 または 6.0.x ノードを含むセルには、アクティブ・ユーザー・リポジトリーで定義されたサーバー・ユーザー ID が必要です。

デフォルト: 使用可能
バージョン 6.0.x ノードのサーバー・ユーザー ID または管理ユーザー [AIX Solaris HP-UX Linux Windows]

セキュリティー目的でアプリケーション・サーバーを実行する際に使用するユーザー ID を指定します。

パスワード [AIX Solaris HP-UX Linux Windows]

サーバー ID に対応するパスワードを指定します。

LDAP サーバーのタイプ

接続する LDAP サーバーのタイプを指定します。

[AIX Solaris HP-UX Linux Windows] [iSeries] IBM® SecureWay® Directory Server はサポートされていません。

[z/OS] IBM SecureWay Directory Server は、 Application Server for z/OS® および多くの LDAP サーバーでもサポートされています。

ホスト

LDAP サーバーのホスト ID (IP アドレスまたはドメイン・ネーム・サービス (DNS) 名) を指定します。

ポート

LDAP サーバーのホスト・ポートを指定します。

複数のアプリケーション・サーバーをインストールして、同一のシングル・サインオンのドメインで実行するように構成する場合、またはアプリケーション・サーバーを以前のバージョンと相互運用する場合は、すべての構成でポート番号が一致していることが重要です。例えば、LDAP ポートをバージョン 6.1 構成で明示的に 389 と指定し、 WebSphere Application Server バージョン 7.0 をバージョン 6.1 のサーバーと相互運用する場合は、バージョン 7.0 のサーバーでポート番号 389 が明示的に指定されていることを検証してください。
デフォルト: 389
タイプ: 整数
基本識別名 (DN)

ディレクトリー・サービスの基本識別名 (DN) を指定します。 これは、ディレクトリー・サービスの LDAP 検索の開始点を表します。 ほとんどの場合、バインド DN とバインド・パスワードが必要です。 ただし、匿名バインドが、必要なすべての機能を満たす場合は、 バインド DN およびバインド・パスワードは必要ありません。

例えば、ユーザーの識別名が cn=John Doeou=Rochestero=IBMc=US の場合、 基本識別名は、ou=Rochestero=IBMc=US または o=IBM c=US または c=US のいずれかに指定します。許可を目的として、このフィールドでは大/小文字の区別が行われます。 例えば、別のセルまたは Lotus® Domino® からトークンを受け取った場合、サーバー内の基本 DN は、別のセルまたは Lotus Domino サーバーから受け取った基本 DN と正確に一致する必要があるということを、 この指定は暗黙指定します。許可の際に大/小文字の区別を考慮する必要がない場合は、「許可検査で大/小文字を区別しない」オプションを有効にしてください。このオプションは、Lotus Domino Directory、IBM Tivoli® Directory Server V6.0、および Novell eDirectory の場合を除き (この場合はこのフィールドはオプション)、すべての Lightweight Directory Access Protocol (LDAP) ディレクトリーで必須です。

バインド識別名 (DN)

アプリケーション・サーバーがディレクトリー・サービスにバインドするために使用する DN を指定します。

名前を指定しない場合、アプリケーション・サーバーは匿名でバインドされます。 識別名の例については、「基本識別名 (DN)」フィールドの説明を参照してください。

バインド・パスワード

アプリケーション・サーバーがディレクトリー・サービスにバインドするために使用するパスワードを指定します。

検索タイムアウト

要求が停止される前に Lightweight Directory Access Protocol (LDAP) サーバーが応答するタイムアウト値を、秒単位で指定します。

デフォルト: 120
接続の再利用

サーバーが LDAP 接続を再利用するかどうかを指定します。このオプションをクリアするのは、ごくまれな状況に限られます。 例えば、要求を複数の LDAP サーバーに分配するためにルーターが使用されるとき、 およびルーターが類縁性をサポートしないとき、などに限られます。

デフォルト: 使用可能
範囲: 使用可能または使用不可
重要:接続の再利用」オプションを使用不可にすることによって、アプリケーション・サーバーは LDAP 検索要求ごとに新規の LDAP 接続を作成できます。ご使用の環境で拡張 LDAP 呼び出しが必要な場合、この状態はシステム・パフォーマンスに影響します。 このオプションが提供されているのは、ルーターが要求を同一の LDAP サーバーに送信しないためです。 このオプションは、アプリケーション・サーバーと LDAP の間のアイドル接続タイムアウト値またはファイアウォール・タイムアウト値が小さすぎる場合にも使用されます。

LDAP フェイルオーバーのために WebSphere Edge Server を使用する場合は、Edge Server で TCP リセットを使用可能にする必要があります。TCP リセットにより、接続は即時にクローズし、 バックアップ・サーバーはフェイルオーバーします。 詳しくは、http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVERの『Sending TCP resets when server is down』およびftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdfの『Edge Server V2 - TCP Reset feature in PTF #2』を参照してください。

許可検査で大/小文字を区別しない

デフォルトの許可を使用する場合に、 許可検査で大/小文字を区別しないよう指定します。

このオプションは、IBM Tivoli Directory Server が LDAP ディレクトリー・サーバーとして選択されている場合には必須です。

このオプションは、Sun ONE Directory Server が LDAP ディレクトリー・サーバーとして選択されている場合には必須です。 詳しくは、資料中の『特定のディレクトリー・サーバーの LDAP サーバーとしての使用』を参照してください。

このオプションはオプショナルであり、許可検査で大/小文字の区別が必要な場合に使用可能にすることができます。例えば、 証明書および証明書の内容の大/小文字が LDAP サーバーのエントリーと一致しない場合に、このオプションを使用します。 アプリケーション・サーバー と Lotus Domino 間でシングル・サインオン (SSO) を使用している場合は、「許可検査で大/小文字を区別しない」オプションを使用可能にできます。

デフォルト: 使用可能
範囲: 使用可能または使用不可
SSL 使用可能

Lightweight Directory Access Protocol (LDAP) サーバーに対してセキュア・ソケット通信を使用可能にするかどうかを指定します。

使用可能にすると、LDAP Secure Sockets Layer (SSL) の設定値が指定されている場合には、その設定値が使用されます。

中央管理対象

SSL 構成の選択が、 Java™ Naming and Directory Interface (JNDI) プラットフォームのアウトバウンド・トポロジー表示をベースにすることを指定します。

中央管理構成は、SSL 構成を構成文書に広げるのではなく、SSL 構成を保守するために 1 つのロケーションをサポートします。

デフォルト: 使用可能
特定 SSL 別名の使用

LDAP アウトバウンド SSL 通信に使用する SSL 構成別名を指定します。

このオプションは、JNDI プラットフォームの中央管理構成をオーバーライドします。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
スタンドアロン LDAP レジストリー・ウィザード設定


ファイル名: usec_singleldaprepos.html