Par défaut, l'annuaire des utilisateurs est l'annuaire du système d'exploitation local. Si vous préférez, vous pouvez utiliser un annuaire LDAP externe comme annuaire des utilisateurs.
Pour accéder à un annuaire d'utilisateurs via LDAP, vous devez connaître un nom d'utilisateur (ID) et un mot de passe valides, le nom d'hôte et le numéro de port du serveur d'annuaire, le nom distinctif (DN) de base et, si nécessaire, le DN de connexion et le mot de passe de connexion.
Dans un environnement de déploiement réseau, il vous faut utiliser LDAP.
Vous pouvez choisir n'importe quel utilisateur qui peut être recherché dans l'annuaire d'utilisateurs. Vous pouvez utiliser tout ID utilisateur doté du rôle d'administrateur pour vous connecter.
Cette valeur est le nom d'un utilisateur possédant des droits d'administration qui est défini dans le registre. Ce nom d'utilisateur sert à accéder à la console d'administration. Il est également employé par la commande wsadmin.
Vous pouvez entrer soit le nom distinctif (DN) complet de l'utilisateur ou son nom abrégé, tel que défini par le filtre d'utilisateurs à la page Paramètres LDAP avancés.
Vous pourrez modifier cette identité serveur sur la page Mécanismes d'authentification et expiration. Pour accéder à la page Mécanismes d'authentification et expiration, cliquer sur Sécurité > Administration, applications et infrastructure sécurisées > Mécanismes d'authentification et expiration. Modifiez la valeur de la zone ID de serveur interne.
Même si cet ID n'est pas l'ID utilisateur de l'administrateur LDAP, cette entrée doit exister dans l'annuaire LDAP.
Le type de serveur LDAP détermine les filtres utilisés par défaut par WebSphere ESB. Ces filtres par défaut changent la zone Type du serveur LDAP en Personnalisé, ce qui indique que des filtres personnalisés sont employés. Cette action a lieu une fois cliqué sur OK ou sur Appliquer sur la page Paramètres LDAP avancés. Sélectionnez le type Personnalisé dans la liste et modifiez les filtres d'utilisateurs et de groupes pour utiliser d'autres serveurs LDAP au besoin.
Les utilisateurs d'IBM Tivoli Directory Server peuvent sélectionner IBM Tivoli Directory Server comme type d'annuaire. Utilisez le type d'annuaire IBM Tivoli Directory Server pour de meilleures performances.
Vous pouvez entrer soit son adresse IP, soi son nom DNS (domain name system).
le nom d'hôte et le numéro de port constituent le domaine de ce serveur LDAP dans la cellule WebSphere ESB. Donc si des cellules différentes communiquent les unes avec les autres à l'aide de jetons LTPA (Lightweight Third Party Authentication), ces domaines doivent concorder de façon exacte dans toutes les cellules.
La valeur par défaut est 389.
Si des WebSphere ESB multiples sont installés et configurés pour s'exécuter dans le même domaine de connexion unique (SSO) ou que WebSphere ESB interopère avec une version précédente de WebSphere ESB, assurez-vous que le numéro de port concorde dans toutes les configurations.
Le nom distinctif de base indique le point de départ des recherches LDAP dans ce serveur d'annuaire LDAP. Par exemple, pour un utilisateur au DN cn=John Doe, ou=Rochester, o=IBM, c=US, indiquez le DN de base en tant que l'une des options parmi les suivantes (en présumant d'un suffixe de c=us): ou=Rochester, o=IBM, c=us or o=IBM c=us or c=us.
A des fins d'autorisation, cette zone est sensible à la casse. Cette spécification implique que si un jeton est reçu (d'une autre cellule ou d'un serveur Lotus Domino, par exemple), le nom distinctif (DN) de base dans le serveur doit correspondre au DN de base d'une autre cellule ou d'un serveur Domino. Si le respect de la casse n'est pas pris en compte pour l'autorisation, activez Ignorer la casse pour l'autorisation.
Dans WebSphere ESB, le nom distinctif est normalisé au regard de la spécification de LDAP (Lightweight Directory Access Protocol). La normalisation consiste en la suppression des espaces dans le nom distinctif de base avant ou après les virgules ou les signes égal. Voici un exemple de nom distinctif de base non normalisé : o = ibm, c = us ou o=ibm, c=us. Voici un exemple de nom distinctif de base normalisé : o=ibm,c=us.
Cette option est obligatoire pour tous les annuaires LDAP (Lightweight Directory Access Protocol) à l'exception de Lotus Domino Directory, pour lequel elle est facultative.
Le DN de connexion est obligatoire si les sessions de liaison ne sont pas possibles sur le serveur LDAP pour obtenir les informations d'utilisateurs et de groupe.
Si le serveur LDAP est paramétré pour utiliser les sessions de liaison anonymes, laissez cette zone vierge. Si aucun nom n'est précisé, le serveur d'applications effectuera la liaison de façon anonyme. Pour des exemples de noms distinctifs, voir la description de la zone Nom distinctif de base.
Cette valeur de délai d'attente indique le délai maximal attendu par le serveur LDAP pour envoyer une réponse au client produit avant d'arrêter la demande. La valeur par défaut est 120 secondes.
Cette option indique que le serveur doit réutiliser la connexion LDAP. Ne désélectionnez cette option que dans de rares cas, lorsqu'un routeur est utilisé pour envoyer des demandes à plusieurs serveurs LDAP et que le routeur ne prend pas en charge l'affinité. Gardez cette option sélectionnée dans les autres cas.
Lorsque vous activez cette option, la vérification des autorisations ne fait pas de distinction entre les majuscules et les minuscules.
Normalement, une vérification de l'autorisation implique la vérification du nom distinctif complet d'un utilisateur, qui est unique sur le serveur LDAP et sensible à la casse. Cependant, lorsque vous utilisez soit IBM Directory Server, soit les serveurs Sun ONE (anciennement iPlanet) Directory Server LDAP, vous devez activer cette option car la casse des informations de groupe obtenues auprès des serveurs LDAP n'est pas cohérente. Cette incohérence n'affecte que la vérification de l'autorisation. Sinon, cette zone est facultative et peut être activée lorsqu'une vérification d'autorisation sensible à la casse est nécessaire.
Par exemple, vous pouvez sélectionner cette option lorsque vous utilisez des certificats et que le contenu des certificats ne correspond pas à la casse de l'entrée sur le serveur LDAP. Vous pouvez également activer l'option Ignorer la casse pour l'autorisation lorsque vous utilisez une connexion unique entre le produit et Lotus Domino.
Par défaut, elle est activée.
Si vous sélectionnez l'option Couche SSL activée, vous pouvez sélectionner soit Géré de façon centrale, soit Utiliser un alias SSL spécifique.
Cette option vous permet de définir une configuration SSL pour une portée donnée. Par exemple, la cellule, le noeud, le serveur ou le cluster en un seul emplacement. Pour utiliser l'option Géré de façon centrale, vous devez définir la configuration SSL pour l'ensemble de noeuds finaux spécifique.
La page Gérer les configurations de sécurité des noeuds finaux affiche tous les noeuds finaux entrants et sortants qui utilisent le protocole SSL.
Développez la section Entrant ou la section Sortant de la page Gérer les configurations de sécurité des noeuds finaux et cliquez sur le nom d'un noeud pour définir une configuration SSL utilisée pour les tous les noeuds finaux de ce noeud. Dans le cas d'un registre LDAP, vous pouvez remplacez la configuration SSL héritée en définissant une configuration SSL pour LDAP.
Cette option permet de sélectionner l'une des configurations SSL de la liste affichée sous l'option.
Cette configuration n'est utilisée que lorsque la couche SSL est activée pour LDAP. La valeur par défaut est NodeDefaultSSLSettings.
Si le serveur démarre sans problème, c'est que sa configuration d'installation est correcte.