LDAP-Verzeichnisserver aktivieren

Informationen zu diesem Vorgang

In der WMC können Sie auswählen, ob die Benutzerauthentifizierung und -autorisierung über einen LDAP-Server erfolgen soll. Wenn Sie einen LDAP-Verzeichnisserver aktivieren, überschreiben die Authentifizierungen und Autorisierungen dieses Servers alle Benutzer, Gruppen und Berechtigungen, die Sie über die WMC definiert haben, mit Ausnahme des integrierten Benutzers mit Administratorberechtigungen. Deshalb können Benutzer und Gruppen mit Ausnahme des Benutzers mit Administratorberechtigungen entweder nur über einen LDAP-Verzeichnisserver oder nur über die WMC authentifiziert und autorisiert werden. Unabhängig von der LDAP-Aktivierung kann das Kennwort des Benutzers mit Administratorberechtigungen über die Befehlszeilenschnittstelle aktualisiert werden.

Anmerkung: LDAP-Benutzer haben keinen Zugriff auf die Bereitstellungsdatenbank.

Vorgehensweise

  1. Wählen Sie im Navigationsfenster Sicherheit > LDAP aus. Die Seite 'LDAP-Konfiguration' wird angezeigt.
  2. Wählen Sie die Option LDAP aktivieren aus. Wenn Sie diese Option nicht auswählen, verwendet die Integrationseinheit die in der WMC definierten integrierten Gruppen und Benutzer, um Benutzer und deren Zugriff auf die WMC zu authentifizieren und zu autorisieren.
  3. Geben Sie die Hostinformationen an.
    1. Geben Sie den Hostnamen und die Portnummer des LDAP-Verzeichnisservers ein.
    2. Wählen Sie einen Basis-DN (Base Distinguished Name) aus oder klicken Sie auf 'DNs abrufen'. Die WMC ruft den Basis-DN aller Verzeichnisinformationsbaumstrukturen (Directory Information Trees, DITs) aus dem LDAP-Verzeichnisserver ab. Wählen Sie den Basis-DN der DIT mit den Benutzern aus, die Sie autorisieren möchten.
  4. Wählen Sie eine der folgenden Sicherheitsoptionen aus:
    • Sichere Verbindung verwenden (SASL) - Aktiviert SASL-Mechanismen, die vom LDAP-Verzeichnisserver unterstützt werden. Diese Option ist die Option mit der höchsten Sicherheit.
    • Einfache Authentifizierung verwenden - Aktiviert einfache Authentifizierungen, verschlüsselt aber keine Berechtigungsnachweise.
    • Anonymes Binden - Aktiviert anonymes Binden für den LDAP-Verzeichnisserver. Diese Option ist die Option mit der geringsten Sicherheit.
  5. Bei Auswahl der Sicherheitsoption 'Sichere Verbindung verwenden (SASL)' müssen Sie einen Mechanismus angeben und die Mechanismuseigenschaften und -richtlinien konfigurieren.
  6. Wenn der LDAP-Verzeichnisserver für eine Verzeichnissuche eine Authentifizierung erfordert, müssen Sie im Abschnitt 'Berechtigungsnachweise' Werte für Principal und Kennwort angeben. Bei Auswahl des Authentifizierungsmodus 'Zusammengesetzter DN' ist dieser Schritt nicht erforderlich. Dieser Schritt kann jedoch zum Abrufen von DNs oder Mechanismen erforderlich sein, wenn der LDAP-Verzeichnisserver keine anonymen Suchvorgänge zulässt.

    Wenn Sie kein Kennwort angeben, versucht die WMC, das erste Binding in den LDAP-Server als anonymer Benutzer durchzuführen, und der LDAP-Server ignoriert den angegebenen Berechtigungsnachweis 'Principal'.

  7. Wählen Sie einen der folgenden Authentifizierungsmodi aus:
    • Zusammengesetzter DN
    • Gesuchter DN
  8. Geben Sie den Benutzercontainer-RDN an. Dieser Wert hängt vom angegebenen Authentifizierungsmodus ab.
    • Bei Auswahl von 'Zusammengesetzter DN' setzt sich der Benutzercontainer-RDN aus einem oder mehreren Attributen des Benutzer-DN zusammen. Erstellen Sie den Benutzercontainer-RDN, indem Sie die Baumstruktur vom unmittelbaren Vorfahre des Benutzers zum Eintrag unmittelbar vor der Basis hinaufwandern und den RDN für jeden Eintrag im Pfad aufaddieren.

      Beispiel - Wenn:

      Benutzer-DN = "uid=JohnK,ou=emp,dc=xyz,dc =com"

      Dann:

      Benutzercontainer-RDN = "ou=emp"

    • Bei Auswahl von 'Gesuchter DN' wird der Benutzercontainer-RDN in der Regel leer gelassen, sodass der LDAP-Verzeichnisserver die gesamte DIT vom Stammelement (Basis) aus durchsucht. Andernfalls durchsucht der LDAP-Verzeichnisserver die untergeordnete Baumstruktur, deren Basis der Eintrag mit DN = Benutzercontainer-RDN + Basis-DN ist.
  9. Geben Sie bei Auswahl von 'Gesuchter DN' den Benutzersuchfilter an, den der LDAP-Verzeichnisserver für die Suche nach dem Benutzer-DN verwendet. (Nur erforderlich bei Auswahl von 'Gesuchter DN') Dieser Eintrag akzeptiert die LDAP-Suchfilterspezifikation sowie einen Benutzernamen im Format $USERNAME. Beispiel:
    • In MSAD kann dieser Eintrag wie folgt lauten: "(samAccountName=$USERNAME)"
    • In SunOne kann dieser Eintrag wie folgt lauten: "(uid=$USERNAME)"
  10. Geben Sie den Benutzer-Principal-DN an, der den DN des Benutzers angibt, den der LDAP-Verzeichnisverzeichnisserver nach der Suche bindet. Sie können $USERNAME oder $DN für den Benutzernamen und den definierten Namen angeben. $DN stellt dabei (RDN+BaseDN) für den Modus 'Zusammengesetzter DN' und den gesuchten DN für den Modus 'Gesuchter DN' dar. In den meisten Fällen lautet der Eintrag $DN. Bei Verwendung von SASL in MSAD müssen Sie jedoch möglicherweise nur $USERNAME angeben. Bei Verwendung von SASL in SunOne müssen Sie möglicherweise nur "dn:$DN" angeben.
  11. Geben Sie Gruppenzuordnungsinformationen an.
    1. Geben Sie den Filter der Admin-Gruppe an.
    2. Geben Sie den Filter der Publishergruppe an.
    3. Geben Sie den Gruppenfilter an.
  12. Klicken Sie auf Speichern.



Feedback | Notices


Timestamp icon Letzte Aktualisierung: Friday, November 8, 2013


http://pic.dhe.ibm.com/infocenter/wci/v7r0m0/topic/com.ibm.wci.appliance.doc/Security/enablingLDAP.html