WebSphere® Application Server での Rational Team Concert™ for System z® クライアント認証に、SDBM バックエンドを使用した z/OS® LDAP サーバーを使用することができます。
SDBM は、RACF® を使用した z/OS でのネイティブ認証を提供します。
このタスクはオプションであり、z/OS のセキュリティー管理者が実行する必要があります。
このタスクについて
このトピックでは、この構成で使用する可能性がある固有の LDAP 設定について説明します。
この情報は、LDAP を使用した Rational
Team Concert for System
z の構成に関する説明を補足するものです。
詳しくは
、『
RTCz: Lightweight Directory Access Protocol (LDAP) によるユーザーの管理』を参照してください。
- LDAP の構成:
LDAP (Lightweight Directory Access Protocol) は、以下のようにして SDBM バックエンドとして構成されます。
この例では、LDAP 構成ファイル slapd.conf の SDBM 用の構成を示しています。
listen ldap://:3399
maxConnections 2000
adminDN “profiletype=user”
database sdbm GLDSDBM
suffix “sysplex=yourSysplexName,o=yourOrganization”
sizeLimit 2000
timeLimit 3600
キーワードの完全な説明については、「z/OS Integrated Security Services LDAP サーバー管理および使用ガイド」を参照してください。
注: profiletype=user のみが構成ファイルに指定されている理由に留意してください。
これによって、複数の BDN が単一の LDAP AdminDN として動作できます。
BDN は、管理コンソールので、LDAP ユーザー・レジストリー・プロパティーに指定する必要があります。
WebSphere からのすべてのセキュリティー要求は、バインド識別名である LDAP 管理者 DN を使用して RACF に (グローバル・セキュリティーがアクティブになった後で) 転送されます。
BDNracid は、RACF が定義したユーザーで、有効な OMVS セグメントを持っている必要があります。この RACF ユーザー ID には、システム全体にわたる AUDITOR 属性が必要です。
- WebSphere ユーザー・レジストリー設定
WebSphere では、LDAP SDBM をユーザー・レジストリーとして使用するために、いくつかのグローバル・セキュリティー設定を行う必要があります。
- 管理コンソールで に移動し、以下の値を指定します。
「自動生成されたサーバー ID (Automatically generated server identity)」チェック・ボックスにはチェック・マークが付けられていなければなりません。
注: RACF に転送されるすべての小文字のユーザー ID またはパスワードを大文字に変換するには、「許可では大/小文字の区別を無視する (Ignore case
for authorization)」チェック・ボックスにチェック・マークが付いている必要があります。
| プロパティー |
値 (説明、実値) |
| 1 次管理ユーザー名 |
マスター管理者の RACF ユーザー ID |
| タイプ |
カスタム |
| ホスト |
LDAP が listen している、LPAR の IP アドレスまたは URL |
| ポート |
slapd.conf に指定された LDAP listen ポート |
| 基本識別名 (DN) |
slapd.conf 内の例のような接尾部 (引用符なし) |
| バインド識別名 (DN) |
racfid=BDNracid,profiletype=user,suffix |
| バインド・パスワード |
BDNracid のパスワード |
- 拡張 LDAP ユーザー・レジストリー設定で、以下のフィルターを追加します。
| プロパティー |
値 |
| ユーザー・フィルター |
racfid=%v |
| グループ・フィルター |
racfid=%v |
| ユーザー ID マップ |
*:racfid |
| グループ ID マップ |
*:racfid |
| グループ・メンバー ID マップ |
racfconnectgroupname:racfgroupuserids |
例
注: バインド識別名は、
AUDITOR 属性と有効な
OMVS セグメント (デフォルトのセグメントとして明示的または暗黙的に指定) を持ち、
TSO セグメントを持たない RACF ユーザー ID にすることをお勧めします。
これは必須ではないため、手軽な手順として BDN アカウントの誤用を避けるために使用してください。
内部の認証および許可による障害のために WebSphere セルが停止するのを防ぐには、BDN ユーザー ID に対して有効期限のないパスワードを使用してください。
組織のポリシーで、このカテゴリーのユーザー ID を期限切れにする必要がある場合は、BDN パスワードの有効期限が切れる前にこれを変更するためのプロセスを策定するようにしてください。