Este tópico descreve como configurar um
fluxo de mensagens para desempenhar autorização em uma identidade utilizando LDAP
(Lightweight Directory Access Protocol).
Antes de começar:
Antes de configurar um fluxo de mensagens para desempenhar
a autorização, é necessário verificar se existe um perfil
de segurança apropriado ou criar um novo perfil de segurança. Consulte
Criando um Perfil de Segurança para LDAP.
Quando LDAP
for utilizado para autorização, o intermediário precisará determinar se o nome de usuário
de entrada é membro do grupo especificado. Para fazer isto,
o intermediário requer as seguintes informações:
- Para resolver o nome de usuário para uma entrada LDAP, o intermediário precisa saber o
Base DN (Nome Distinto Base) dos IDs de login aceitos.
Isto é necessário para ativar
o intermediário para distinguir entre diferentes entradas com o mesmo nome.
- Para obter uma lista de entrada de um nome do grupo, o nome do grupo deve ser o nome distinto
do grupo, não apenas um nome comum. É feita uma procura LDAP para o grupo e o
nome de usuário é verificado, localizando uma entrada correspondente ao nome distinto
do usuário.
- Se o seu diretório LDAP não permitir login por IDs não reconhecidos e não conceder direitos de
acesso de procura na subárvore, você deve configurar um ID de login autorizado separado
que o intermediário pode utilizar para a procura. Utilize o comando mqsisetdbparms
para especificar um nome de usuário e senha:
mqsisetdbparms -n ldap::LDAP -u username -p password
ou mqsisetdbparms -n ldap::<servername> -u username -p password
em que <servername> é
seu nome de servidor LDAP base. Por exemplo: ldap.mydomain.com.Se você especificar
ldap::LDAP, el cria uma configuração padrão para o intermediário, que o intermediário tenta utilizar se não tiver utilizado explicitamente o comando
mqsisetdbparms para criar um ID de login para um <servername> específico.
Todos os servidores que não têm uma entrada ldap::servername explícita então começam a utilizar credenciais na entrada ldap::LDAP.
Isto significa que qualquer servidor que estava utilizando ligação anônima anteriormente por padrão
será iniciado utilizando os detalhes em ldap::LDAP.
O nome de usuário especificado no parâmetro
-u deve ser reconhecido pelo servidor LDAP como um nome de usuário completo. Na maioria dos casos, isto
significa que você precisa especificar o DN completo do usuário. Como alternativa, ao especificar um nome de usuário como anônimo, é possível forçar o intermediário a ligar de forma anônima a esse servidor LDAP. Isso pode ser útil se você tiver especificado uma ligação não anônima como padrão (ldap::LDAP). Por exemplo:
mqsisetdbparms -n ldap::<servername> -u anonymous -p password
Nesse caso, o valor especificado para
password é ignorado.
Etapas para ativar autorização do LDAP:
Para permitir que um fluxo de mensagens existente execute a autorização utilizando LDAP, utilize o editor de Broker Archive para selecionar um perfil de segurança que tenha autorização ativada. É possível configurar um perfil de segurança em um fluxo de mensagens ou em nós de
entrada individuais. Se nenhum perfil de segurança for configurado para os nós de entrada, a configuração será herdada da configuração no fluxo de mensagens.
- Alterne para o Perspectiva do Desenvolvimento de Aplicativos do Intermediário.
- Na Visualização Desenvolvimento
do Broker,
clique com o botão direito do mouse no arquivo BAR e, em seguida, clique em Abrir com > Editor do Broker Archive.
- Clique na guia Gerenciar e Configurar.
- Clique no fluxo ou nó no qual deseja configurar o perfil de segurança. As propriedades
que podem ser configuradas ara o fluxo de mensagens ou para o nó serão exibidas
na visualização Propriedades.
- No campo Nome do Perfil de Segurança,
selecione um perfil de segurança que utilize o LDAP para autorização.
- Salve o arquivo BAR.
Para um nó SOAPInput utilizar a identidade no cabeçalho
WS-Security (em vez de uma identidade de transporte subjacente), um conjunto de políticas e ligações apropriados também devem ser definidos e especificados. Para informações adicionais, consulte Conjuntos de Políticas.