Rational® Asset Manager を Lightweight Directory Access Protocol (LDAP) リポジトリーと統合して、ユーザー認証を実行したり、ユーザー情報を取得したり、グループ・バインディングを活用したりすることができます。
始める前に
これらのステップを実行するには、リポジトリー管理者のアクセス権を保持している必要があります。
また、使用するレジストリーの LDAP スキーマにも精通している必要があります。
手順
- Rational Asset Manager の Web アプリケーションにログインします。
- 「管理」ページを開きます。
- 「リポジトリー管理」の下にある「構成」をクリックします。
- 「カスタム・ユーザー・レジストリー」セクションで、「カスタム・ユーザー・レジストリーを使用 (Use a Custom User Registry)」ボックスを選択します。
- カスタム・ユーザー・レジストリーと統合するためにカスタム・クラスを使用することを計画している場合は、完全修飾クラスパスを指定します。それ以外の場合は、デフォルトのクラスを使用します。
- Rational Asset Manager に対する管理者権限を持たせるユーザーのログイン ID を入力します。
(有効な管理者をセットアップしていない場合は、管理者として Rational Asset Manager の Web アプリケーションにログインできず、このアプリケーションを管理できなくなります。)
- 「構成」をクリックします。
- 「カスタム・ユーザー・クラスの構成 (Custom User Class Configuration)」ページで、
Rational Asset Manager と LDAP レジストリー・スキーマとの関係を構成するためにフォームに記入します。
テキスト・フィールドをブランクのままにすると、デフォルト値が復帰します。
値を NULL にしたい場合は、スペース (「 」) を入力します。
- LDAP サーバーの URL: LDAP サーバーの URL (ldap://<url>:389 など)。
セキュア通信の場合は、「ldaps://<url>:636」を使用します。
- ユーザーの識別名: アクセス権限を取得するために、レジストリーへのログインに使用するユーザーの名前。
ユーザーの識別名 (例えば、「uid=123456,c=us,ou=exampleorganization,o=example.com」) を入力します。
- ユーザーのパスワード: 上記のユーザーのパスワード。
- ユーザーの固有 ID プロパティー: ユーザーの objectClass インスタンスのプロパティー名。固有の ID を表します。
例えば、(objectClass) person's
serialNumber プロパティー、または (objectClass) user's sAMAccountName プロパティーなど。
- ユーザーのログイン ID プロパティー (User's Login ID property): ユーザーがログインに使用する (objectClass) プロパティー。
固有の ID とログイン ID は通常同じですが、ユーザーが別の ID (例えば、E メール・アドレス) を使用してログインするようにレジストリーを設定することもできます。
このログイン ID プロパティーは、ステップ 6 のユーザーのログイン ID と同じでなければならないことに注意してください。
- ユーザーの電話番号のプロパティー: ユーザーの電話番号を表す (objectClass) プロパティー。
例えば、(objectClass) person's telephonenumber プロパティーなど。
- ユーザーの E メールのプロパティー: ユーザーの E メール・アドレスを表す (objectClass) プロパティー。
例えば、(objectClass) person's mail プロパティーなど。
- ユーザーの表示名のプロパティー: インターフェースに表示するユーザーの名前を表す (objectClass) プロパティー。
例えば、(objectClass) person's cn プロパティーなど。
- ロケール・プロパティー (Locale property): ユーザーの E メール言語設定を表す (objectClass) のプロパティー。例えば、(objectClass) person's language プロパティーです。 フィールドをブランクのままにすると、デフォルト値が復帰します。ユーザーは E メール言語設定をから管理することができます。フィールドを設定すると、LDAP 言語値が使用されます。
値が Rational Asset Manager でサポートされている言語 (de、ko、ja、zh_TW、zh_CN、es、pt_BR、en、fr、ru など) である場合、ユーザーはその言語に設定されます。値が無効な場合 (または LDAP に存在しない場合)、en (英語) が使用されます。
- LDAP ユーザーの基本検索 (LDAP User base searching): レジストリーの、ユーザー・オブジェクトを含まない部分の検索を避けるために、検索を開始する箇所のルート・パスの値を入力します。
例えば、「ou=exampleorganization,o=example.com」など。
- ユーザー検索フィルター (User search filter): ユーザーの検索に使用するテンプレート。
%v は、入力テキスト・フィールドから入力した検索語を表します。
検索は、検索語にワイルドカードが付加されている場合のように実行されます。
デフォルトの検索テンプレートでは、mail プロパティーまたは name プロパティーのいずれかが、
検索語と同じであるすべての person objectClasses を検索するように構成されています。
- LDAP グループ・ベース検索: これは、ユーザーの基本検索に似た、グループを検索するための基本検索です。
例えば、「ou=memberlist,ou=groups,o=example.com」など。
- グループ検索フィルター (Group search filter): これは、ユーザー・ベースのフィルターと同じく、グループを検索するためのフィルターです。
デフォルトでは、ユーザーが入力した検索語に照らし合わせて、groupOfUniqueNames (静的グループ)、groupOfNames (静的 LDAP グループ)、groupOfUrls (動的 LDAP グループ)、group (アクティブ・ディレクトリー定義済みグループ) を検索します。
- イメージ URL テンプレート (Image URL template): 通常、イメージは LDAP レジストリー以外の場所に保管されています。
レジストリー内のユーザー情報と同時にイメージを取得するようにこのテンプレートを構成することで、ユーザーのイメージを URL を使用して取得できます。
テンプレートの ${property} は、イメージを取得したときに置換されるユーザー・オブジェクトの LDAP objectClass プロパティーを表しています。
例えば、uid プロパティー=123456 を持つユーザーの場合、デフォルトのテンプレート https://<ImageServer
url>/photo/${uid}.jpg は、URL https://<ImageServer
URL>/photo/123456.jpg になります。
タスクの結果
これで、Rational Asset
Manager Web アプリケーションは、ユーザー認証およびユーザー情報取得のため LDAP を使用するように、適切に構成されます。
コミュニティー管理者は、自分のコミュニティーの「ユーザー・グループ (User Groups)」ページで、LDAP レジストリーのグループにユーザー・グループをバインドできるようになりました。LDAP を使用してユーザーを認証したい場合は、WebSphere® Application
Server 管理コンソールから構成する必要があります。
注: LDAP 認証を使用していて、かつ、ネットワーク構成内の複数の IP アドレスに単一の LDAP ホスト名がマップされている場合は、ユーザーが無効な資格情報を使用して Rational Asset Manager にログインした場合に LDAP ユーザー・アカウントのロックアウトが発生しないように、WebSphere Application Server 管理コンソールを使用して適切な構成プロパティーを適用する必要があります。
無効なログインを行うと、サーバーが各 IP アドレスを使用してユーザーを検証するため、複数のログインが失敗することになります。
ログインの最大試行回数を設定している場合は、1 回の無効なログオンで、LDAP アカウントのロックアウトが発生する可能性があります。
この問題の発生を防ぐには、http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672 で説明されているステップに従ってください。