#1. はじめに
とあるお客様のプロジェクトで、API ManagerでLDAPを設定する必要がありました。この記事ではAPI Manager(以降、APIM)でLDAPを設定する際に知っておきたいことをまとめます。API Managerと併用することの多いIBM DataPower Gateway(以降、IDG)でLDAPを設定する手順との違いを理解しておくこともポイントです。
#2. この記事の前提
以降の内容は以下を前提としています。
- バージョンはV5.0.7.2
#3. 知っておきたいこと - その1
Cloud Managerコンソール上では、メンバー(ローカル・ユーザー)と組織(グループ)を作成することができます。つまり、ユーザー管理として、ローカル・ユーザー・レジストリーも1つの選択肢としてありますが、ローカル・ユーザー・レジストリーとLDAPレジストリーの併用はできません。
ローカル・ユーザー・レジストリーとLDAPレジストリーを併用しようとすると、以下のような問題点に遭遇します。
- ローカル・ユーザー・レジストリーが設定されている状況では、LDAP構成の保存ができない
- LDAPレジストリーが設定されている状況でメンバーと組織は追加できるが、LDAPの変更ができなくなる(例えば、バインド・パスワードの変更、検索フィルターの変更など)、またLDAP構成の削除もできなくなる
後者のケースで、LDAPの変更が必要となった場合は、"system clean apiconfig"コマンドを実行してAPIMを初期化しなければなりません(ネットワーク以外の設定はすべて失われるので注意)。
#4. 知っておきたいこと - その2
ローカル・ユーザー・レジストリーとLDAPレジストリーの併用ができないことで、以下のような弊害が生じます。
LDAPレジストリーでユーザーを管理した場合、LDAPサーバーがダウンしている間はCloud Managerコンソールに誰もログインできなくなります。IDGでは、Local accounts for fallbackの設定をすることで、LDAPユーザーが誰もログインできない状況でも、fallbackユーザーでのログインを可能にする設定が可能ですが、APIMでは不可能なため注意が必要です。
#5.まとめ
IDGでLDAPを設定する際に知っておきたいポイントをまとめました。要件定義の段階で、ユーザー管理をどちらにするか決定しておくことが重要です。