WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Configurando Autenticação com LDAP

Este tópico descreve como configurar um fluxo de mensagens para desempenhar a autenticação da identidade utilizando LDAP (Lightweight Directory Access Protocol).

Antes de começar:

Antes de configurar um fluxo de mensagens para executar a autenticação de identidade utilizando o LDAP, é necessário verificar se existe um perfil de segurança apropriado ou criar um novo perfil de segurança. Consulte Criando um Perfil de Segurança para LDAP.

Para autenticar a identidade de um usuário ou sistema, o intermediário tenta conectar-se ao servidor LDAP utilizando o nome de usuário e senha associados à identidade. Para isso, o intermediário precisa das seguintes informações:
  • Para resolver o nome de usuário para uma entrada LDAP, o intermediário precisa conhecer o Base DN (nome distinto base) dos IDs de login aceitos. Isto é necessário para ativar o intermediário para distinguir entre diferentes entradas com o mesmo nome.
  • Se nem todas as identidades tiverem um DN base comum, mas puderem ser resolvidas exclusivamente de uma subárvore, o DN pode ser especificado na configuração do intermediário. Quando uma procura de subárvore tiver sido especificada, o intermediário deve conectar primeiro o servidor LDAP e procurar pelo nome de usuário fornecido a fim de obter o DN (nome distinto) do nome de usuário completo a ser utilizado para autenticação. Se o seu diretório LDAP não permitir login de IDs não reconhecidos e não conceder direitos de acesso de procura na subárvore, você deve configurar um ID de login autorizado separado que o intermediário pode utilizar para a procura. Utilize o comando mqsisetdbparms para especificar um nome de usuário e senha. Por Exemplo:
    mqsisetdbparms -n ldap::LDAP -u username -p password
    ou
    mqsisetdbparms -n ldap::<servername> -u username -p password

    em que <servername> é o nome do servidor LDAP base, por exemplo, ldap.mydomain.com.

    Se você especificar ldap::LDAP, el cria uma configuração padrão para o intermediário, que o intermediário tenta utilizar se não tiver utilizado explicitamente o comando mqsisetdbparms para criar um ID de login para um <servername> específico. Todos os servidores que não têm uma entrada ldap::servername explícita então começam a utilizar credenciais na entrada ldap::LDAP. Isto significa que qualquer servidor que estava utilizando ligação anônima anteriormente por padrão será iniciado utilizando os detalhes em ldap::LDAP.

    O nome de usuário especificado no parâmetro -u deve ser reconhecido pelo servidor LDAP como um nome de usuário completo. Na maioria dos casos, isto significa que você precisa especificar o DN completo do usuário. Como alternativa, ao especificar um nome de usuário como anônimo, é possível forçar o intermediário a ligar de forma anônima a esse servidor LDAP. Isso pode ser útil se você tiver especificado uma ligação não anônima como padrão (ldap::LDAP). Por exemplo:
    mqsisetdbparms -n ldap::<servername> -u anonymous -p password
    Nesse caso, o valor especificado para password é ignorado.

Etapas para ativar autenticação do LDAP:

Para permitir que um fluxo de mensagens existente execute a autenticação de identidade, utilize o editor de Broker Archive para selecionar um perfil de segurança que utiliza o LDAP para autenticação. É possível configurar um perfil de segurança em um fluxo de mensagens ou em nós de entrada individuais. Se nenhum perfil de segurança for configurado para os nós de entrada, a configuração será herdada da configuração no fluxo de mensagens.
  1. Alterne para o Perspectiva do Desenvolvimento de Aplicativos do Intermediário.
  2. Na Visualização Desenvolvimento do Broker, clique com o botão direito do mouse no arquivo BAR e, em seguida, clique em Abrir com > Editor do Broker Archive.
  3. Clique na guia Gerenciar e Configurar.
  4. Clique no fluxo ou nó no qual deseja configurar o perfil de segurança. As propriedades que podem ser configuradas ara o fluxo de mensagens ou para o nó serão exibidas na visualização Propriedades.
  5. No campo Nome do Perfil de Segurança, selecione um perfil de segurança que utilize o LDAP para autenticação.
  6. Salve o arquivo BAR.

Para um nó SOAPInput utilizar a identidade no cabeçalho WS-Security (em vez de uma identidade de transporte subjacente), um conjunto de políticas e ligações apropriados também devem ser definidos e especificados. Para informações adicionais, consulte Conjuntos de Políticas.

Se a identidade da mensagem não contiver informações suficientes para autenticação, as informações deverão ser obtidas do corpo da mensagem. Por exemplo, se uma senha for necessária para autenticação mas a mensagem vier do WebSphere MQ com apenas um nome de usuário, as informações de senha deverão ser obtidas no corpo da mensagem. Para obter informações adicionais, consulte Configurando a Extração de uma Identidade ou Token de Segurança.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:15


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap04121_