IBM MQ Console および REST API の LDAP レジストリーの構成

LDAP レジストリーは mqwebuser.xml ファイル内で構成できます。 LDAP レジストリー内のユーザー名およびパスワードは、IBM® MQ Console および REST APIのユーザーを認証および許可するために使用されます。

始める前に

  • LDAP レジストリーを構成する場合は、各ユーザーに役割を割り当てる必要があります。 各ロールは、 IBM MQ Console および REST APIにアクセスするためのさまざまなレベルの特権を提供し、許可された操作の試行時に使用されるセキュリティー・コンテキストを決定します。 レジストリーを構成する前に、これらの役割を理解しておく必要があります。 各役割の詳細については、役割IBMMQコンソールとREST API

    MQWebUser 役割を持つすべてのユーザーは、ユーザー ID がキュー・マネージャーで実行を許可されている操作のみを実行できることに注意してください。 したがって、LDAP サーバー上で定義されたユーザー ID は、 IBM MQ がインストールされているシステム上で同一のユーザー ID を持っている必要があります。 これらのユーザー ID は大/小文字が同じである必要があります。同じでない場合、ユーザー ID 間のマッピングが失敗することがあります。

  • このタスクを実行するには、mqwebuser.xml ファイルを編集するための十分な特権を持つユーザーでなければなりません。
    • [z/OS]の上z/OS®、書き込み権限が必要ですmqwebuser.xmlファイル。
    • [UNIX、Linux、Windows、IBM i]その他のオペレーティングシステムでは、特権ユーザー
    • [MQ 9.4.0 2024 年 6 月][Linux]mqwebサーバーがスタンドアロンの一部である場合IBM MQ Web Serverインストールするには、mqwebuser.xmlファイルのIBM MQ Web Serverデータディレクトリ。

手順

  1. 以下のいずれかのパスから、サンプル XML ファイル ldap_registry.xml をコピーします。
    • IBM MQ インストール済み環境の場合:
      • [AIX、Linux、Windows] AIX®, Linux®, and Windowsの場合: MQ_INSTALLATION_PATH /web/mq/samp/configuration
      • [z/OS]の上z/OS:PathPrefix/web/mq/samp/configuration

        どこPathPrefixそれはIBM MQ for z/OS UNIX System Services Componentsインストールパス。

    • [MQ 9.4.0 2024 年 6 月][Linux]スタンドアロンでIBM MQ Web Serverインストール:MQWEB_INSTALLATION_PATH/web/mq/samp/configuration

      ここで、 MQWEB_INSTALLATION_PATH は、 IBM MQ Web Server インストール・ファイルが解凍されたディレクトリーです。

  2. 以下のように、サンプル・ファイルを適切なディレクトリーに置きます。
    • IBM MQ インストール済み環境の場合:
      • [AIX][Linux]の上AIXまたはLinux:/var/mqm/web/installations/installationName/servers/mqweb
      • [Windows]の上Windows:MQ_DATA_PATH\web\installations\installationName\servers\mqweb 、 どこMQ_DATA_PATHそれはIBM MQデータ経路。 このパスは、 IBM MQのインストール時に選択されたデータ・パスです。 デフォルトでは、このパスは C:\ProgramData\IBM\MQです。
      • [z/OS]の上z/OS:WLP_user_directory/servers/mqweb

        ここで、WLP_user_directory は、mqweb サーバー定義を作成するために crtmqweb スクリプトを実行したときに指定したディレクトリーです。

    • [MQ 9.4.0 2024 年 6 月][Linux]スタンドアロンでIBM MQ Web Serverインストール:MQ_OVERRIDE_DATA_PATH/web/installations/MQWEBINST/servers/mqweb

      ここで、 MQ_OVERRIDE_DATA_PATH は、 MQ_OVERRIDE_DATA_PATH 環境変数が指す IBM MQ Web Server データ・ディレクトリーです。

  3. オプション: mqwebuser.xmlで構成設定を変更した場合は、それらをサンプル・ファイルにコピーします。
  4. 既存の mqwebuser.xml ファイルを削除し、サンプル・ファイルの名前を mqwebuser.xmlに変更します。
  5. 新しい mqwebuser.xml ファイルを編集して、 ldapRegistry タグと idsLdapFilterProperties タグ内の LDAP レジストリー設定を変更します。

    LDAPレジストリの設定の詳細については、以下を参照してください。 Liberty での LDAP ユーザー レジストリの構成の中にWebSphere® Libertyドキュメンテーション。

  6. mqwebuser.xml ファイルを編集して、ユーザーおよびグループに役割を割り当てます。

    IBM MQ Consoleおよび REST APIを使用する権限をユーザーおよびグループに付与するために使用可能な役割がいくつかあります。 各役割は別のレベルのアクセス権を付与します。 詳細については、役割IBMMQコンソールとREST API

    • 役割を割り当て、 IBM MQ Consoleへのアクセス権限を付与するには、 <enterpriseApplication id="com.ibm.mq.console"> タグ内の適切な security-role タグの間にユーザーとグループを追加します。

    • 役割を割り当て、 REST APIへのアクセス権限を付与するには、 <enterpriseApplication id="com.ibm.mq.rest"> タグ内の適切な security-role タグの間にユーザーとグループを追加します。

次のタスク

ユーザー認証方法を選択します。
IBM MQ Console 認証オプション
  • トークン認証を使用してユーザーを認証する。 この場合、ユーザーは IBM MQ Console ログイン画面でユーザー ID とパスワードを入力します。 ユーザーが一定時間ログインと許可を維持するための LTPA トークンが生成されます。 この認証オプションを使用するうえでこれ以上の構成は不要ですが、必要に応じて LTPA トークンの有効期間を構成できます。 詳しくは、 LTPA トークンの有効期間の構成を参照してください。
  • クライアント証明書を使用してユーザーを認証する。 この場合、ユーザーは IBM MQ Consoleへのログインにユーザー ID またはパスワードを使用せず、代わりにクライアント証明書を使用します。 詳細については、 REST APIを使用したクライアント証明書認証の設定とIBMMQコンソール
REST API 認証オプション
  • HTTP 基本認証を使用してユーザーを認証する。 この場合、ユーザー名とパスワードはエンコードされますが、暗号化されません。各 REST API 要求と共に送信され、その要求に対してユーザーを認証して許可します。 この認証を保護するには、セキュア接続を使用する必要があります。 つまり、HTTPS を使用する必要があります。 詳細については 、「REST API での HTTP 基本認証の使用 」を参照してください。
  • トークン認証を使用してユーザーを認証する。 この場合、ユーザーは HTTPを使用して、 REST API login リソースにユーザーIDとパスワードを送信します。 ユーザーが一定時間ログインと許可を維持するための LTPA トークンが生成されます。 詳細については、 REST API でトークンベースの認証を使用する。 LTPA トークンの有効期間を構成できます。 詳しくは、 LTPA トークンの構成を参照してください。
  • クライアント証明書を使用してユーザーを認証する。 この場合、ユーザーは REST APIへのログインにユーザー ID またはパスワードを使用せず、代わりにクライアント証明書を使用します。 詳細については、 REST APIを使用したクライアント証明書認証の設定とIBMMQコンソール