WebSphere Enterprise Service Bus, Version 6.2.0 Systèmes d'exploitation: AIX, HP-UX, i5/OS, Linux, Solaris, Windows


Configuration de LDAP (Lightweight Directory Access Protocol) comme annuaire des utilisateurs

Par défaut, l'annuaire des utilisateurs est l'annuaire du système d'exploitation local. Si vous préférez, vous pouvez utiliser un annuaire LDAP externe comme annuaire des utilisateurs.

Avant de commencer

Cette tâche part du principe que la sécurité d'administration est activée.

Pour accéder à un annuaire d'utilisateurs via LDAP, vous devez connaître un nom d'utilisateur (ID) et un mot de passe valides, le nom d'hôte et le numéro de port du serveur d'annuaire, le nom distinctif (DN) de base et, si nécessaire, le DN de connexion et le mot de passe de connexion.

Dans un environnement de déploiement réseau, il vous faut utiliser LDAP.

Vous pouvez choisir n'importe quel utilisateur qui peut être recherché dans l'annuaire d'utilisateurs. Vous pouvez utiliser tout ID utilisateur doté du rôle d'administrateur pour vous connecter.

Procédure
  1. Démarrez la console d'administration.
    • Si la sécurité est désactivée, vous êtes invité à entrer un ID utilisateur. Utilisez l'ID utilisateur de vos souhaits pour vous connecter.
    • Si la sécurité est activée, vous êtes invité à entrer un ID utilisateur et un mot de passe. Connectez-vous avec un ID utilisateur et un mot de passe d'administration prédéfinis.
  2. Développer Sécurité, puis cliquer sur Administration, applications et infrastructure sécurisées.
  3. De la page Administration, applications et infrastructure sécurisées, suivre les étapes ci-dessous.
    1. Assurez-vous que Activer la sécurité d'administration est sélectionné.
    2. Dans la liste Définitions de domaine disponibles, sélectionnez Annuaire LDAP autonome.
    3. Cliquez sur Configurer.
  4. Sur l'onglet Configuration de la page Annuaire LDAP autonome, suivez les étapes ci-dessous.
    1. Entrez un nom d'utilisateur valide dans la zone Nom de l'utilisateur administratif primaire.

      Cette valeur est le nom d'un utilisateur possédant des droits d'administration qui est défini dans le registre. Ce nom d'utilisateur sert à accéder à la console d'administration. Il est également employé par la commande wsadmin.

      Vous pouvez entrer soit le nom distinctif (DN) complet de l'utilisateur ou son nom abrégé, tel que défini par le filtre d'utilisateurs à la page Paramètres LDAP avancés.

    2. Facultatif : Sélectionnez l'option Identité de serveur généré automatiquement ou Identité de serveur stockée dans un référentiel.
      • Si vous sélectionnez Identité serveur générée automatiquement, le serveur d'applications générera l'identité serveur utilisée pour communiquer les processus en interne.

        Vous pourrez modifier cette identité serveur sur la page Mécanismes d'authentification et expiration. Pour accéder à la page Mécanismes d'authentification et expiration, cliquer sur Sécurité > Administration, applications et infrastructure sécurisées > Mécanismes d'authentification et expiration. Modifiez la valeur de la zone ID de serveur interne.

      • Si vous sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez les informations suivantes :
        • Dans ID utilisateur ou utilisateur d'administration du serveur sur un noeud de version 6.0.x, indiquer un ID utilisateur qui serve à exécuter le serveur d'applications à des fins de sécurité.
        • Dans Mot de passe, indiquez le mot de passe associé à ce nom d'utilisateur.

      Même si cet ID n'est pas l'ID utilisateur de l'administrateur LDAP, cette entrée doit exister dans l'annuaire LDAP.

    3. Facultatif : Sélectionnez le serveur LDAP à utiliser dans la liste Type du serveur LDAP.

      Le type de serveur LDAP détermine les filtres utilisés par défaut par WebSphere ESB. Ces filtres par défaut changent la zone Type du serveur LDAP en Personnalisé, ce qui indique que des filtres personnalisés sont employés. Cette action a lieu une fois cliqué sur OK ou sur Appliquer sur la page Paramètres LDAP avancés. Sélectionnez le type Personnalisé dans la liste et modifiez les filtres d'utilisateurs et de groupes pour utiliser d'autres serveurs LDAP au besoin.

      Les utilisateurs d'IBM Tivoli Directory Server peuvent sélectionner IBM Tivoli Directory Server comme type d'annuaire. Utilisez le type d'annuaire IBM Tivoli Directory Server pour de meilleures performances.

    4. Dans la zone Hôte, entrez le nom complet qualifié de la machine sur laquelle réside le LDAP.

      Vous pouvez entrer soit son adresse IP, soi son nom DNS (domain name system).

    5. Facultatif : Dans la zone Port, entrez le numéro de port sur lequel le serveur LDAP écoute.

      le nom d'hôte et le numéro de port constituent le domaine de ce serveur LDAP dans la cellule WebSphere ESB. Donc si des cellules différentes communiquent les unes avec les autres à l'aide de jetons LTPA (Lightweight Third Party Authentication), ces domaines doivent concorder de façon exacte dans toutes les cellules.

      La valeur par défaut est 389.

      Si des WebSphere ESB multiples sont installés et configurés pour s'exécuter dans le même domaine de connexion unique (SSO) ou que WebSphere ESB interopère avec une version précédente de WebSphere ESB, assurez-vous que le numéro de port concorde dans toutes les configurations.

    6. Facultatif : Entrez le nom distinctif de base dans la zone Nom distinctif (DN) de base.

      Le nom distinctif de base indique le point de départ des recherches LDAP dans ce serveur d'annuaire LDAP. Par exemple, pour un utilisateur au DN cn=John Doe, ou=Rochester, o=IBM, c=US, indiquez le DN de base en tant que l'une des options parmi les suivantes (en présumant d'un suffixe de c=us): ou=Rochester, o=IBM, c=us or o=IBM c=us or c=us.

      A des fins d'autorisation, cette zone est sensible à la casse. Cette spécification implique que si un jeton est reçu (d'une autre cellule ou d'un serveur Lotus Domino, par exemple), le nom distinctif (DN) de base dans le serveur doit correspondre au DN de base d'une autre cellule ou d'un serveur Domino. Si le respect de la casse n'est pas pris en compte pour l'autorisation, activez Ignorer la casse pour l'autorisation.

      Dans WebSphere ESB, le nom distinctif est normalisé au regard de la spécification de LDAP (Lightweight Directory Access Protocol). La normalisation consiste en la suppression des espaces dans le nom distinctif de base avant ou après les virgules ou les signes égal. Voici un exemple de nom distinctif de base non normalisé : o = ibm, c = us ou o=ibm, c=us. Voici un exemple de nom distinctif de base normalisé : o=ibm,c=us.

      Cette option est obligatoire pour tous les annuaires LDAP (Lightweight Directory Access Protocol) à l'exception de Lotus Domino Directory, pour lequel elle est facultative.

    7. Facultatif : Entrez le DN de connexion dans la zone Nom distinctif de connexion.

      Le DN de connexion est obligatoire si les sessions de liaison ne sont pas possibles sur le serveur LDAP pour obtenir les informations d'utilisateurs et de groupe.

      Si le serveur LDAP est paramétré pour utiliser les sessions de liaison anonymes, laissez cette zone vierge. Si aucun nom n'est précisé, le serveur d'applications effectuera la liaison de façon anonyme. Pour des exemples de noms distinctifs, voir la description de la zone Nom distinctif de base.

    8. Facultatif : Entrez le mot de passe correspondant au DN de connexion dans la zone Mot de passe de connexion.
    9. Facultatif : Modifiez la valeur Expiration de la recherche.

      Cette valeur de délai d'attente indique le délai maximal attendu par le serveur LDAP pour envoyer une réponse au client produit avant d'arrêter la demande. La valeur par défaut est 120 secondes.

    10. Vérifiez que l'option Réutiliser la connexion est sélectionnée.

      Cette option indique que le serveur doit réutiliser la connexion LDAP. Ne désélectionnez cette option que dans de rares cas, lorsqu'un routeur est utilisé pour envoyer des demandes à plusieurs serveurs LDAP et que le routeur ne prend pas en charge l'affinité. Gardez cette option sélectionnée dans les autres cas.

    11. Facultatif : Vérifiez que l'option Ignorer la casse pour l'autorisation est activée.

      Lorsque vous activez cette option, la vérification des autorisations ne fait pas de distinction entre les majuscules et les minuscules.

      Normalement, une vérification de l'autorisation implique la vérification du nom distinctif complet d'un utilisateur, qui est unique sur le serveur LDAP et sensible à la casse. Cependant, lorsque vous utilisez soit IBM Directory Server, soit les serveurs Sun ONE (anciennement iPlanet) Directory Server LDAP, vous devez activer cette option car la casse des informations de groupe obtenues auprès des serveurs LDAP n'est pas cohérente. Cette incohérence n'affecte que la vérification de l'autorisation. Sinon, cette zone est facultative et peut être activée lorsqu'une vérification d'autorisation sensible à la casse est nécessaire.

      Par exemple, vous pouvez sélectionner cette option lorsque vous utilisez des certificats et que le contenu des certificats ne correspond pas à la casse de l'entrée sur le serveur LDAP. Vous pouvez également activer l'option Ignorer la casse pour l'autorisation lorsque vous utilisez une connexion unique entre le produit et Lotus Domino.

      Par défaut, elle est activée.

    12. Facultatif : Sélectionnez Couche SSL activée si vous voulez utiliser les communications de couche Secure Sockets Layer avec le serveur LDAP.

      Si vous sélectionnez l'option Couche SSL activée, vous pouvez sélectionner soit Géré de façon centrale, soit Utiliser un alias SSL spécifique.

      • Géré de façon centrale

        Cette option vous permet de définir une configuration SSL pour une portée donnée. Par exemple, la cellule, le noeud, le serveur ou le cluster en un seul emplacement. Pour utiliser l'option Géré de façon centrale, vous devez définir la configuration SSL pour l'ensemble de noeuds finaux spécifique.

        La page Gérer les configurations de sécurité des noeuds finaux affiche tous les noeuds finaux entrants et sortants qui utilisent le protocole SSL.

        Développez la section Entrant ou la section Sortant de la page Gérer les configurations de sécurité des noeuds finaux et cliquez sur le nom d'un noeud pour définir une configuration SSL utilisée pour les tous les noeuds finaux de ce noeud. Dans le cas d'un registre LDAP, vous pouvez remplacez la configuration SSL héritée en définissant une configuration SSL pour LDAP.

      • Utiliser un alias SSL spécifique

        Cette option permet de sélectionner l'une des configurations SSL de la liste affichée sous l'option.

        Cette configuration n'est utilisée que lorsque la couche SSL est activée pour LDAP. La valeur par défaut est NodeDefaultSSLSettings.

    13. Cliquez sur OK puis soit sur Appliquer, soit sur Enregistrer pour revenir à la page Administration, applications et infrastructure sécurisées.
  5. Sur la page Administration, applications et infrastructure sécurisées, cliquez sur Définir comme courant.
  6. Cliquez sur OK, puis sur Appliquer ou Sauvegarder.

Que faire ensuite

Sauvegardez, arrêtez et redémarrez tous les serveurs pour que les mises à jour puissent prendre effet.

Si le serveur démarre sans problème, c'est que sa configuration d'installation est correcte.


task Rubrique relative à une tâche

Conditions d'utilisation | Commentaires en retour


Icône d'horodatage Dernière mise à jour: 07 juillet 2010


http://publib.boulder.ibm.com/infocenter/dmndhelp/v6r2mx/topic//com.ibm.websphere.wesb620.doc/doc/tsec_ldap.html
Copyright IBM Corporation 2005, 2010. All Rights Reserved.
Ce centre d'information est mis en service par la technologie Eclipse (http://www.eclipse.org).