第1章

プラグ可能なレルムについて

この章では、exteNd Directorのプラグ可能なレルム実装をまとめ、レルムの設定に関する情報を提供します。この節には、次のトピックが含まれています。

注記: For more information レルムの設定に関する情報は、『Developing exteNd Director Applications』のディレクトリ設定に関する節を参照してください。

レルムについて

「レルム」とは、ユーザ、グループおよびパスワードの持続的なリポジトリのためのexteNd Directorアプリケーションのインタフェースです。exteNd Directorアプリケーションでは、レルムはインタフェースのEbiRealmまたはEbiWritableRealmを実装するクラスです。

レルムのタイプ

プラグ可能なレルムのタイプを次に示します。

レルムのタイプ	説明
LDAPレルム	Novell eDirectory LDAPサーバとのインタフェースを提供します。一般的に、これは書き込み可能なレルムです。 eDirectoryのサポートは、実際には次のいくつかのレルムで構成されます。基本LDAPレルム、およびexteNd Application Server、BEA WebLogic、IBM WebSphereに固有のLDAPレルムです。注記: exteNd Directorを使用してLDAPレルムのコンテナまたはカスタムユーザ属性を追加または削除することはできません。これらの操作を行うには、LDAPサーバの独自の管理インタフェースを使用する必要があります。
J2EEアプリケーションサーバレルム	ベンダ固有の認証およびユーザ/グループ管理APIに対する、プラットフォームに依存しない共有のインタフェースを提供します。読み込み可能レルムまたは書き込み可能レルムにすることができます。実際の認証のメカニズムは、アプリケーションサーバに対して内部または外部に存在できます。プログラミングの観点からみて、これはアプリケーションに対して完全に透過的です。たとえば、Novell exteNd Application Serverを使用している場合、設定を変更するだけで、認証プロバイダをWindows NTからNIS+に変更することができます。コードの変更は必要ありません。
PersistManagerレルム	exteNd Directorデータベースをユーザまたはグループ、あるいはその両方のリポジトリとして使用し、データベースからアクセスされるユーザとパスワードのペアを使用して独自の認証を行います。一般的に、これは書き込み可能なレルムです。
互換性のあるレルム	exteNd Directorの以前のバージョンで使用されていた内部認証APIに対するインタフェースを提供します。ユーザおよびグループは、exteNd Directorに保存されます。書き込み可能なレルムである必要があります。新しいアプリケーションにはお勧めしません。

レルムアクセス

レルムは、次に説明するように、「読み取り可能」(読み込み専用)か「書き込み可能」(読み書き可能)のいずれかにすることができます。各レルムについての詳細は、『Developing exteNd Director Applications』のディレクトリ設定に関する節を参照してください。

レルムアクセスの使用方法	説明
1つの読み取り可能(読み込み専用)レルム	読み込み可能レルムでは、Directoryサブシステムは、ユーザやグループを追加したり、既存のユーザやグループを変更したりすることはできません。読み込み可能レルムは、アプリケーションにアクセスできるユーザやグループを完全に制御したいときに役に立ちます。たとえば、多くの場合、イントラネットでは、一元管理アプリケーションを使用して、すべてのユーザおよびグループを管理します。
1つの書き込み(読み書き可能)レルム	書き込み可能レルムでは、管理者は、Directoryサブシステムを使用して、ユーザとグループを追加、削除、および変更できます。書き込み可能レルムは、匿名ユーザに、ユーザ自身をレルムに追加することを許可する場合に役に立ちます。たとえば、インターネットのサイトでは、ユーザにユーザ自身でアカウントの登録や作成ができるようにすることがよくあります。
1つの読み取り可能レルムおよび1つの書き込み可能レルム	2つのレルムを持つアプリケーションでは、各レルムを別々の目的に使用することができます。たとえば、企業ポータルアプリケーションで、従業員には読み取り可能レルム、顧客には書き込み可能レルムを使用できます。

レルムアクセスの使用方法

説明

1つの読み取り可能(読み込み専用)レルム

読み込み可能レルムでは、Directoryサブシステムは、ユーザやグループを追加したり、既存のユーザやグループを変更したりすることはできません。

読み込み可能レルムは、アプリケーションにアクセスできるユーザやグループを完全に制御したいときに役に立ちます。たとえば、多くの場合、イントラネットでは、一元管理アプリケーションを使用して、すべてのユーザおよびグループを管理します。

1つの書き込み(読み書き可能)レルム

書き込み可能レルムでは、管理者は、Directoryサブシステムを使用して、ユーザとグループを追加、削除、および変更できます。

書き込み可能レルムは、匿名ユーザに、ユーザ自身をレルムに追加することを許可する場合に役に立ちます。たとえば、インターネットのサイトでは、ユーザにユーザ自身でアカウントの登録や作成ができるようにすることがよくあります。

1つの読み取り可能レルムおよび1つの書き込み可能レルム

2つのレルムを持つアプリケーションでは、各レルムを別々の目的に使用することができます。

たとえば、企業ポータルアプリケーションで、従業員には読み取り可能レルム、顧客には書き込み可能レルムを使用できます。

J2EEアプリケーションサーバレルム

この節では、サポートされているアプリケーションサーバ(LDAP以外)のプラグ可能なレルム実装について説明します。

exteNd Application Serverレルム

このレルムはexteNd Application Server Directory APIを使用し、LDAP、Windows NT、SilverUsers、およびNIS+セキュリティプロバイダを使用するように設定できます。LDAPおよびWindows NTのセキュリティプロバイダは、読み込み専用です。

注記: exteNd Application ServerでeDirectoryを使用している場合は、exteNd LDAPレルムを使用することをお勧めします。

EbiSilverServerRealmインタフェースは、exteNd Application Serverレルムへのアクセスメソッドを提供します。

インタフェース:

EbiSilverServerRealm

実装:

EboSilverServerRealm

認証プロバイダ:

SilverSecurity (デフォルト)

NTSecurity

LDAPSecurity

NISPLUSSecurity

authSilverStream

exteNd アプリケーションサーバの互換性のあるレルム

このレルムは、ePortal 2.xディレクトリサーバ、またはネストされたグループを必要とする任意のアプリケーションとの互換性を保つために提供されています。このレルムは、ユーザおよびグループバインドのデータベーステーブルのセットを使用します。また、exteNd Application ServerレルムのSilverUsersディレクトリをそのユーザプロパティとして使用します。

インタフェース:	EbiUserManagerRealm
実装:	EboUserManagerRealm
認証プロバイダ:	SilverUsers

BEA WebLogicレルム

このレルムは、BEA WebLogic 6.x用です。このレルムは、基礎となるサーバAPIをコールして、外部レルム(LDAPおよびWindows NT)への読み込み可能なアクセス、およびアプリケーションサーバのファイルシステムに保存されているデフォルトレルムへの読み込み可能/書き込み可能アクセスを提供します。

exteNd Director EbiWebLogicRealmインタフェースは、WebLogicサーバレルムAPIへのアクセスメソッドを提供します。 authWebLogic

インタフェース:	EbiWeblogicRealm
実装:	EboWeblogicRealm
認証プロバイダ:	WebLogic内部ストア

IBM WebSphereレルム

このレルムは、IBM WebSphere 4.x用です。exteNd Directorは、リレーショナルデータベースに基いたカスタムレジストリを介してデータにアクセスします(IBM WebSphereは、認証以外にレルムアクセスAPIを提供しません)。すべてのメソッドコールは、exteNd Directorデータベースを介して行われます。

認証については、exteNd Director EbiWebSphereRealmインタフェースはWebSphere認証メソッドをコールし、続いてこのメソッドがデータベースをコールします。

authWebSphere

インタフェース:	EbiWebsphereRealm
実装:	EboWebsphereRealm
認証プロバイダ:	AUTHUSERS (exteNd Director内部ストア)

LDAPサーバレルム

書き込み可能LDAPレルムに対して、exteNd Directorは、次のクラスを提供します。

JNDI (Java Naming Service Interface)を実装する「汎用基本クラス」(JNDI は、LDAPレルム階層にアクセスするJavaの標準的な方法です)。
Novell eDirectory LDAPレルムを使用してユーザを認証するための、サポートされている各J2EEアプリケーションサーバの「派生クラス」。基本LDAPレルム。

基本LDAPレルム

JNDIレルム基本クラスは、グループおよびユーザを検索するためのLDAPサーバとの管理者接続を提供します。この接続は内部接続なので、データへの不正な外部アクセスが防止されます。ユーザのJNDI接続は、ユーザがレルムを介して認証されるときに、ユーザセッションの一部として保存されます。

authLdapAppServer

LDAPアプリケーションサーバレルム

基本クラスでは、汎用LDAP認証だけをサポートしていて、アプリケーションサーバを介した認証は提供していません。アプリケーションサーバを介した認証は、各アプリケーションサーバの個々のクラスで提供されます。このアプリケーションサーバレルムは、JNDIレルムスーパークラスの認証メソッドを上書きして、認証にApplication Server APIを使用します。

PersistManagerレルム

これは、DirectoryサブシステムAPIを使用してexteNd Directorデータベースからユーザやグループに直接アクセスするときに使用できる汎用レルムです。このレルムは、ネイティブアプリケーションサーバAPIには依存しません。

authPersistManager

インタフェース:	EbiPersistMgrRealm
実装:	EboPersistMgrRealm
認証プロバイダ:	AUTHUSERS (exteNd Director内部ストア)

カスタムレルムの作成

独自のレルムを実装して、ディレクトリサーバに直接アクセスすることができます。また、既存のデータベース構造を使用することもできます。カスタムセキュリティレルムを作成するには、次のcom.sssw.fw.directory.apiパッケージのインタフェースを実装します。

Directoryクラス	説明
EbiRealm	読み込み専用ディレクトリサービスを提供する場合にカスタムレルムが実装する必要のあるインタフェース。ディレクトリマネージャは、このインタフェースおよびサブインタフェースEbiWriteableRealmを実装するレルムのインスタンスをロードします。
EbiWriteableRealm	ディレクトリサービスの書き込みアクセスを提供する場合にカスタムレルムが実装する必要のあるインタフェース。ディレクトリマネージャは、このインタフェースおよびスーパーインタフェースEbiRealmを実装するレルムのインスタンスをロードします。
EbiRealmUser	カスタムレルムに使用されるラッパプリンシパル。内部的に元のプリンシパル実装を使用して、既存のプリンシパル機能およびAPIを利用できます。
EbiRealmGroup	カスタムレルムに使用されるラッパグループプリンシパル。内部的に元のプリンシパル実装を使用して、既存のプリンシパル機能およびAPIを利用できます。

For more information 詳細については、カスタムレルムの設定を参照してください。

レルムの設定

exteNd Directorアプリケーションで使用されるレルムを自動的に、または手動で設定できます。

レルムの自動設定

次に示すツールのいずれかを使用して、exteNd Director development environmentのexteNd Directorアプリケーションで使用されるレルムを設定できます。ツールはいずれも同じ機能を実行します。

exteNd Directorプロジェクトウィザード - 「新規」プロジェクト用

ウィザードの詳細については、Developing exteNd Director Applicationsのプロジェクトの作成に関する節を参照してください。
exteNd Director設定ツール - 「既存」のプロジェクト用

ツールの詳細については、Developing exteNd Director ApplicationsのexteNd Directorアプリケーションの再設定に関する節を参照してください。

レルムの手動設定

アプリケーションのレルムとDirectoryサブシステム設定プロパティを表す編集可能なキー/値のペアは、次の2つの記述子ファイルに含まれています。これらのファイルは、DirectoryService-confフォルダのプロジェクトツリーにあります。

記述子	内容	詳細の参照先
config.xml	レルム設定プロパティ	Developing exteNd Director Applicationsの設定の変更に関する節
services.xml	Directoryサブシステムサービス設定	Developing exteNd Director Applicationsの設定の変更に関する節

別の認証プロバイダの設定

この節は、exteNd Application Serverレルムにのみ適用されます。

exteNd Application Serverのデフォルトレルムは、SilverUsersです。レルムは、exteNd Application Serverによってサポートされている任意の認証プロバイダ(Windows NTおよびNIS+を含む)に再設定できます。

Procedure 別の認証プロバイダに設定する

exteNd Directorで、Directoryサブシステムのconfig.xmlを開きます。
［追加］をクリックします。
各キーと値のペアに対して、［キー］フィールドおよび［値］フィールドをダブルクリックして、次の値を入力します。

Windows NTの場合:
- ［キー］: DirectoryService/realms/readable/params/PROVIDER
- ［値］: NTSecurity
- ［キー］: DirectoryService/realms/readable/params/AUTHORITY
- ［値］: NTレルムドメイン
NIS+の場合:
- ［キー］: DirectoryService/realms/readable/params/PROVIDER
- ［値］: NISPLUSSecurity
- ［キー］: DirectoryService/realms/readable/params/AUTHORITY
- ［値］: 使用しているNIS+サーバ
注記: プライマリレルムを再設定する場合、プライマリレルムの設定を参照してください。
プロジェクトを再展開します。

詳細については、『Developing exteNd Director Applications』のexteNd Directorプロジェクトの展開に関する節を参照してください。

プライマリレルムの設定

デフォルトでは、読み込み可能レルムがプライマリレルムです。APIメソッドコールに対し、Directoryサブシステムは、最初にプライマリレルムを確認します。

Procedure 書き込み可能レルムをプライマリレルムとして指定する

exteNd Directorで、Directoryサブシステムのconfig.xmlを開きます。
［追加］をクリックします。
次のキーと値のペアを入力します。
- ［キー］: DirectoryService/realms/primary
- ［値］: DirectoryService/realms/writable
次のプロジェクトのDirectoryサービス記述子を開きます。
```
  ...\library\DirectoryService\DirectoryService-conf\services.xml
```
［追加］をクリックします。

値を次のように入力します。

フォーム情報	値
インタフェース	com.sssw.fw.directory.api.EbiSilverServerRealm
実装クラス	com.sssw.fw.server.silverserver.realm.EboSilverServerRealm
最大インスタンス	0 重要: 読み込み可能レルムおよび書き込み可能レルムがEboSilverServerRealm実装の別々のインスタンスになるように、［最大インスタンス］を0に設定する必要があります。
起動	手動
説明	任意の文字列

プロジェクトを再展開します。

詳細については、『Developing exteNd Director Applications』のexteNd Directorプロジェクトの展開に関する節を参照してください。

カスタムレルムの設定

プラグ可能なカスタムレルムを作成するには、インタフェースcom.sssw.fw.directory.EbiRealm(読み込み可能レルム)またはEbiWriteableRealm(書き込み可能レルム)を実装する必要があります。

For more information 詳細については、カスタムレルムの作成を参照してください。

Procedure カスタムレルムを設定する

exteNd Directorで、Directoryサブシステムのservices.xmlを開きます。
［追加］をクリックします。

該当する値を入力します。

フォーム情報	説明
インタフェース	インタフェースまたは完全修飾名のキー。例: com.acme.MyCustomRealmInterface。
実装クラス	完全修飾実装クラス。例: com.acme.MyCustomRealmImpl。
最大インスタンス	クラスを読み込み可能および書き込み可能レルムの両方で使用する場合、またはレルムのいずれか1つのインスタンスを使用する場合、この値を1に設定します。それ以外の場合は、0 (複数のインスタンス)に設定します。
起動	サーバ起動時にクラスのインスタンスを生成する場合は、［自動］を選択します。それ以外の場合は、［手動］を選択します。
説明	任意の文字列

exteNd Directorで、Directoryサブシステムのservices.xmlを開きます。
レルムが読み込み専用の場合、services.xmlに入力した値と一致するキーと値のペアを入力します。
- ［キー］: DirectoryService/realms/readable
  
  ［値］: 読み込み可能なインタフェース。例: com.acme.MyCustomRealmInterface。
カスタムレルムが読み込み可能/書き込み可能な場合、次のキーと同じ値を追加します。
- ［キー］: DirectoryService/realms/writable
  
  ［値］: 読み込み可能/書き込み可能なインタフェース。例: com.acme.MyCustomRealmInterface。
プロジェクトを再展開します。

詳細については、『Developing exteNd Director Applications』のexteNd Directorプロジェクトの展開に関する節を参照してください。