LDAP 統合のための構成

Rational® Asset Manager を Lightweight Directory Access Protocol (LDAP) リポジトリーと統合して、ユーザー認証を実行したり、ユーザー情報を取得したり、グループ・バインディングを活用したりすることができます。

始める前に

これらのステップを実行するには、リポジトリー管理者のアクセス権を保持している必要があります。 また、使用するレジストリーの LDAP スキーマにも精通している必要があります。

手順

  1. Rational Asset Manager の Web アプリケーションにログインします。
  2. 「管理」ページを開きます。
  3. 「リポジトリー管理」の下にある「構成」をクリックします。
  4. 「カスタム・ユーザー・レジストリー」セクションで、「カスタム・ユーザー・レジストリーを使用 (Use a Custom User Registry)」ボックスを選択します。
  5. カスタム・ユーザー・レジストリーと統合するためにカスタム・クラスを使用することを計画している場合は、完全修飾クラスパスを指定します。それ以外の場合は、デフォルトのクラスを使用します。
  6. Rational Asset Manager に対する管理者権限を持たせるユーザーのログイン ID を入力します。 (有効な管理者をセットアップしていない場合は、管理者として Rational Asset Manager の Web アプリケーションにログインできず、このアプリケーションを管理できなくなります。)
  7. 「構成」をクリックします。
  8. 「カスタム・ユーザー・クラスの構成 (Custom User Class Configuration)」ページで、 Rational Asset Manager と LDAP レジストリー・スキーマとの関係を構成するためにフォームに記入します。 テキスト・フィールドをブランクのままにすると、デフォルト値が復帰します。 値を NULL にしたい場合は、スペース (「 」) を入力します。
    1. LDAP サーバーの URL: LDAP サーバーの URL (ldap://<url>:389 など)。 セキュア通信の場合は、「ldaps://<url>:636」を使用します。
    2. ユーザーの識別名: アクセス権限を取得するために、レジストリーへのログインに使用するユーザーの名前。 ユーザーの識別名 (例えば、「uid=123456,c=us,ou=exampleorganization,o=example.com」) を入力します。
    3. ユーザーのパスワード: 上記のユーザーのパスワード。
    4. ユーザーの固有 ID プロパティー: ユーザーの objectClass インスタンスのプロパティー名。固有の ID を表します。 例えば、(objectClass) person's serialNumber プロパティー、または (objectClass) user's sAMAccountName プロパティーなど。
    5. ユーザーのログイン ID プロパティー (User's Login ID property): ユーザーがログインに使用する (objectClass) プロパティー。 固有の ID とログイン ID は通常同じですが、ユーザーが別の ID (例えば、E メール・アドレス) を使用してログインするようにレジストリーを設定することもできます。 このログイン ID プロパティーは、ステップ 6 のユーザーのログイン ID と同じでなければならないことに注意してください。
    6. ユーザーの電話番号のプロパティー: ユーザーの電話番号を表す (objectClass) プロパティー。 例えば、(objectClass) person's telephonenumber プロパティーなど。
    7. ユーザーの E メールのプロパティー: ユーザーの E メール・アドレスを表す (objectClass) プロパティー。 例えば、(objectClass) person's mail プロパティーなど。
    8. ユーザーの表示名のプロパティー: インターフェースに表示するユーザーの名前を表す (objectClass) プロパティー。 例えば、(objectClass) person's cn プロパティーなど。
    9. ロケール・プロパティー (Locale property): ユーザーの E メール言語設定を表す (objectClass) のプロパティー。例えば、(objectClass) person's language プロパティーです。 フィールドをブランクのままにすると、デフォルト値が復帰します。ユーザーは E メール言語設定を「マイ・ダッシュボード」 > 「編集」から管理することができます。フィールドを設定すると、LDAP 言語値が使用されます。 値が Rational Asset Manager でサポートされている言語 (de、ko、ja、zh_TW、zh_CN、es、pt_BR、en、fr、ru など) である場合、ユーザーはその言語に設定されます。値が無効な場合 (または LDAP に存在しない場合)、en (英語) が使用されます。
    10. LDAP ユーザーの基本検索 (LDAP User base searching): レジストリーの、ユーザー・オブジェクトを含まない部分の検索を避けるために、検索を開始する箇所のルート・パスの値を入力します。 例えば、「ou=exampleorganization,o=example.com」など。
    11. ユーザー検索フィルター (User search filter): ユーザーの検索に使用するテンプレート。 %v は、入力テキスト・フィールドから入力した検索語を表します。 検索は、検索語にワイルドカードが付加されている場合のように実行されます。 デフォルトの検索テンプレートでは、mail プロパティーまたは name プロパティーのいずれかが、 検索語と同じであるすべての person objectClasses を検索するように構成されています。
    12. LDAP グループ・ベース検索: これは、ユーザーの基本検索に似た、グループを検索するための基本検索です。 例えば、「ou=memberlist,ou=groups,o=example.com」など。
    13. グループ検索フィルター (Group search filter): これは、ユーザー・ベースのフィルターと同じく、グループを検索するためのフィルターです。 デフォルトでは、ユーザーが入力した検索語に照らし合わせて、groupOfUniqueNames (静的グループ)、groupOfNames (静的 LDAP グループ)、groupOfUrls (動的 LDAP グループ)、group (アクティブ・ディレクトリー定義済みグループ) を検索します。
    14. イメージ URL テンプレート (Image URL template): 通常、イメージは LDAP レジストリー以外の場所に保管されています。 レジストリー内のユーザー情報と同時にイメージを取得するようにこのテンプレートを構成することで、ユーザーのイメージを URL を使用して取得できます。 テンプレートの ${property} は、イメージを取得したときに置換されるユーザー・オブジェクトの LDAP objectClass プロパティーを表しています。 例えば、uid プロパティー=123456 を持つユーザーの場合、デフォルトのテンプレート https://<ImageServer url>/photo/${uid}.jpg は、URL https://<ImageServer URL>/photo/123456.jpg になります。

タスクの結果

これで、Rational Asset Manager Web アプリケーションは、ユーザー認証およびユーザー情報取得のため LDAP を使用するように、適切に構成されます。 コミュニティー管理者は、自分のコミュニティーの「ユーザー・グループ (User Groups)」ページで、LDAP レジストリーのグループにユーザー・グループをバインドできるようになりました。LDAP を使用してユーザーを認証したい場合は、WebSphere® Application Server 管理コンソールから構成する必要があります。
注: LDAP 認証を使用していて、かつ、ネットワーク構成内の複数の IP アドレスに単一の LDAP ホスト名がマップされている場合は、ユーザーが無効な資格情報を使用して Rational Asset Manager にログインした場合に LDAP ユーザー・アカウントのロックアウトが発生しないように、WebSphere Application Server 管理コンソールを使用して適切な構成プロパティーを適用する必要があります。

無効なログインを行うと、サーバーが各 IP アドレスを使用してユーザーを検証するため、複数のログインが失敗することになります。 ログインの最大試行回数を設定している場合は、1 回の無効なログオンで、LDAP アカウントのロックアウトが発生する可能性があります。 この問題の発生を防ぐには、http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672 で説明されているステップに従ってください。


フィードバック