ユーザー・レジストリーの構成

デフォルトでは、IBM® Rational® Asset Manager はファイル・ベースの認証を使用して、ユーザー情報をフラット・ファイルに保管します。 代わりに、Lightweight Directory Access Protocol (LDAP) やユーザー情報の保管用データベースなど、他のユーザー・レジストリーを使用することもできます。 LDAP レジストリーにアクセスするための汎用クラスが用意されていますが、カスタム・クラスを指定して、他のタイプのレジストリーにアクセスすることもできます。

始める前に

認証およびユーザー情報のために LDAP レジストリーを使用する場合は、サーバー構成で LDAP 統合を使用可能にする前に、LDAP 統合用に Rational Asset Manager を構成する必要があります。

サーバー構成で、LDAP レジストリー内からリポジトリー管理者を指定できます。 サーバー構成内で LDAP 統合を使用可能にすると、ユーザー ID およびパスワードとして admin を使用してログオンすることができなくなります。

ヒント: ファイル・ベースの認証は、実稼働環境用ではありません。LDAP またはカスタム・ユーザー・レジストリーでは、パスワード・パターンの規則、パスワード有効期限、列挙型アタックを防ぐアカウント・ロックアウトなどの、一般的なセキュリティー施行がサポートされています。 ファイル・ベース認証では、これらの機能はサポートされていません。

「カスタム・ユーザー・レジストリー」設定を編集後、サーバーを再始動する必要があります。

このタスクについて

Rational Asset Manager と LDAP の統合には、次の 3 つの要素があります。
  • ユーザー認証
  • ユーザー情報
  • グループ・バインディング

ユーザー認証に LDAP を使用するためのアプリケーション・サーバーのセットアップ

Rational Asset Manager は、LDAP レジストリーに接続する場合や、Web または Web サービスのユーザー・ログインを認証する場合に、アプリケーション・サーバー (IBM WebSphere® Application Server や Apache Tomcat の構成など) に依存します。

始める前に

管理者 ID を指定する必要があります。 有効な管理者 ID を設定しないと、コンテナーを切り替えて外部レジストリーを使用する際に、admin をユーザー ID とパスワードとして使用して Rational Asset Manager にログオンできず、製品を構成できなくなります。

管理者 ID を設定するには、「管理」 > 「構成」の順にクリックします。 次に、「カスタム・ユーザー・レジストリー」セクションを見つけて、外部レジストリーで有効なユーザーの管理者 ID を指定します。

手順

LDAP レジストリーと連携するようにコンテナーを設定するには、以下の手順に従ってください。

  1. カスタム・ファイル・ベースのレジストリーを使用するために一時的にコンテナーを切り替えます (Rational Asset Manager ファイルを使用)。
  2. Rational Asset Manager 管理者を設定します。
  3. LDAP レジストリーに戻します。

ユーザー情報

LDAP は一般的なユーザー・レジストリーですが、ユーザー情報を他のタイプのレジストリー (ファイル・システム、サービス、コンテンツ・マネージャーなど) から提供される場合があります。 LDAP の場合でも、Rational Asset Manager にあるデフォルト・ユーザー・クラスの機能では、この情報を保管するスキーマまたは方法に対応できません。 そのため、CustomUserInformationFactory クラスを拡張するクラスを使用できます。 異なるクラス名を使用するには、その名前を設定する必要があります。

このタスクについて

Rational Asset Manager は、LDAP v3 レジストリーに接続し、ユーザー情報 API を提供する、一般的な LDAPUserInformationFactory クラスを扱うように構成されています。

デフォルト LDAPUserInformationFactory クラスは一般的な LDAP ユーザー情報ファクトリーであり、ユーザーやグループを検索して取得するには特定の構成が必要です。 以下の情報は各構成についての説明です。

Rational Asset Manager 内のすべてのユーザー・エントリーには、関連付けられたユーザー ID があり、これは LDAP などのユーザー・レジストリーからのユーザー ID です。 ユーザー ID が LDAP レジストリーで見つからない場合、 Rational Asset Manager 内のユーザー・エントリーの表示名は、 その名前に (Not found) を付加するように 変更されます。ユーザー・エントリーにそれ以外の変更は行われません。例えば、 検出されないユーザー ID によるアセットの所有権変更は行われません。ユーザー ID は、 ユーザー・エントリー全体が LDAP レジストリーから削除されたため、 またはユーザー ID が LDAP レジストリー内で変更されたために LDAP レジストリーで 検出されないことがあります。ユーザー ID が LDAP レジストリー内で変更され、このユーザー ID が Rational Asset Manager で使用されていると、 新規ユーザー ID 用の新しいユーザー・エントリーが Rational Asset Manager で作成されます。

グループ・バインディング

グループを検索するように Rational Asset Manager を設定できます。Rational Asset Manager をグループにバインドする場合、ユーザーの追加または削除を行うことはできません。 Rational Asset Manager はレジストリーのグループ・メンバーを使用して、グループを同期化します。ユーザーを追加または削除するには、そのバインディングを削除してください。 メンバーはグループ内に残りますが、グループは同期化できなくなります。

フィードバック