Este tópico descreve como configurar um
fluxo de mensagens para desempenhar a autenticação da identidade utilizando
LDAP (Lightweight Directory Access Protocol).
Antes de começar:
Antes de configurar um fluxo de mensagens para executar
a autenticação de identidade utilizando o LDAP, é necessário verificar se existe um perfil
de segurança apropriado ou criar um novo perfil de segurança. Consulte
Criando um Perfil de Segurança para LDAP.
Para autenticar a identidade
de um usuário ou sistema, o intermediário tenta conectar-se ao servidor
LDAP utilizando o nome de usuário e senha associados à identidade. Para isso, o intermediário precisa das seguintes informações:
- Para resolver o nome de usuário para uma entrada LDAP, o intermediário precisa conhecer o Base DN (nome distinto base) dos IDs de login aceitos.
Isto é necessário para ativar
o intermediário para distinguir entre diferentes entradas com o mesmo nome.
- Se nem todas as identidades tiverem um DN base comum, mas puderem ser resolvidas
exclusivamente de uma subárvore, o DN pode ser especificado na configuração do intermediário. Quando uma procura de subárvore tiver sido especificada, o
intermediário deve conectar primeiro o servidor LDAP e procurar pelo nome de usuário
fornecido a fim de obter o DN (nome distinto) do nome de usuário completo a ser
utilizado para autenticação. Se o seu diretório LDAP não permitir login de IDs não reconhecidos e não conceder direitos de
acesso de procura na subárvore, você deve configurar um ID de login autorizado separado
que o intermediário pode utilizar para a procura. Utilize o comando mqsisetdbparms
para especificar um nome de usuário e senha. Por
Exemplo:
mqsisetdbparms -n ldap::LDAP -u username -p password
oumqsisetdbparms -n ldap::<servername> -u username -p password
em que <servername>
é o nome do servidor LDAP base, por exemplo, ldap.mydomain.com.
Se você especificar
ldap::LDAP, el cria uma configuração padrão para o intermediário, que o intermediário tenta utilizar se não tiver utilizado explicitamente o comando
mqsisetdbparms para criar um ID de login para um <servername> específico.
Todos os servidores que não têm uma entrada ldap::servername explícita então começam a utilizar credenciais na entrada ldap::LDAP.
Isto significa que qualquer servidor que estava utilizando ligação anônima anteriormente por padrão
será iniciado utilizando os detalhes em ldap::LDAP.
O nome de usuário especificado no parâmetro
-u deve ser reconhecido pelo servidor LDAP como um nome de usuário completo. Na maioria dos casos, isto
significa que você precisa especificar o DN completo do usuário. Como alternativa, ao especificar um nome de usuário como anônimo, é possível forçar o intermediário a ligar de forma anônima a esse servidor LDAP. Isso pode ser útil se você tiver especificado uma ligação não anônima como padrão (ldap::LDAP). Por exemplo:
mqsisetdbparms -n ldap::<servername> -u anonymous -p password
Nesse caso, o valor especificado para
password é ignorado.
Etapas para ativar autenticação do LDAP:
Para permitir que um fluxo de mensagens existente execute a autenticação de identidade, utilize o editor de Broker Archive para selecionar um perfil de segurança que utiliza o LDAP para autenticação. É possível configurar um perfil de segurança em um fluxo de mensagens ou em nós de
entrada individuais.
Se nenhum perfil de segurança for configurado para os nós de entrada, a configuração será herdada da configuração no fluxo de mensagens.
- Alterne para o Perspectiva do Desenvolvimento de Aplicativos do Intermediário.
- Na Visualização Desenvolvimento
do Broker,
clique com o botão direito do mouse no arquivo BAR e, em seguida, clique em Abrir com > Editor do Broker Archive.
- Clique na guia Gerenciar e Configurar.
- Clique no fluxo ou nó no qual deseja configurar o perfil de segurança. As propriedades
que podem ser configuradas ara o fluxo de mensagens ou para o nó serão exibidas
na visualização Propriedades.
- No campo Nome do Perfil de Segurança,
selecione um perfil de segurança que utilize o LDAP para autenticação.
- Salve o arquivo BAR.
Para um nó SOAPInput utilizar a identidade no cabeçalho
WS-Security (em vez de uma identidade de transporte subjacente), um conjunto de políticas e ligações apropriados também devem ser definidos e especificados.
Para informações adicionais, consulte Conjuntos de Políticas.
Se a identidade da mensagem não contiver informações suficientes para autenticação,
as informações deverão ser obtidas do corpo da mensagem. Por exemplo, se uma senha for necessária para autenticação
mas a mensagem vier do WebSphere MQ com apenas um nome de usuário, as informações de senha
deverão ser obtidas no corpo da mensagem. Para obter informações adicionais, consulte Configurando a Extração de uma Identidade ou Token de Segurança.