WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Configurando Autorização com LDAP

Este tópico descreve como configurar um fluxo de mensagens para desempenhar autorização em uma identidade utilizando LDAP (Lightweight Directory Access Protocol).

Antes de começar:

Antes de configurar um fluxo de mensagens para desempenhar a autorização, é necessário verificar se existe um perfil de segurança apropriado ou criar um novo perfil de segurança. Consulte Criando um Perfil de Segurança para LDAP.

Quando LDAP for utilizado para autorização, o intermediário precisará determinar se o nome de usuário de entrada é membro do grupo especificado. Para fazer isto, o intermediário requer as seguintes informações:
  • Para resolver o nome de usuário para uma entrada LDAP, o intermediário precisa saber o Base DN (Nome Distinto Base) dos IDs de login aceitos. Isto é necessário para ativar o intermediário para distinguir entre diferentes entradas com o mesmo nome.
  • Para obter uma lista de entrada de um nome do grupo, o nome do grupo deve ser o nome distinto do grupo, não apenas um nome comum. É feita uma procura LDAP para o grupo e o nome de usuário é verificado, localizando uma entrada correspondente ao nome distinto do usuário.
  • Se o seu diretório LDAP não permitir login por IDs não reconhecidos e não conceder direitos de acesso de procura na subárvore, você deve configurar um ID de login autorizado separado que o intermediário pode utilizar para a procura. Utilize o comando mqsisetdbparms para especificar um nome de usuário e senha:
    mqsisetdbparms -n ldap::LDAP -u username -p password
    ou
    mqsisetdbparms -n ldap::<servername> -u username -p password
    em que <servername> é seu nome de servidor LDAP base. Por exemplo: ldap.mydomain.com.

    Se você especificar ldap::LDAP, el cria uma configuração padrão para o intermediário, que o intermediário tenta utilizar se não tiver utilizado explicitamente o comando mqsisetdbparms para criar um ID de login para um <servername> específico. Todos os servidores que não têm uma entrada ldap::servername explícita então começam a utilizar credenciais na entrada ldap::LDAP. Isto significa que qualquer servidor que estava utilizando ligação anônima anteriormente por padrão será iniciado utilizando os detalhes em ldap::LDAP.

    O nome de usuário especificado no parâmetro -u deve ser reconhecido pelo servidor LDAP como um nome de usuário completo. Na maioria dos casos, isto significa que você precisa especificar o DN completo do usuário. Como alternativa, ao especificar um nome de usuário como anônimo, é possível forçar o intermediário a ligar de forma anônima a esse servidor LDAP. Isso pode ser útil se você tiver especificado uma ligação não anônima como padrão (ldap::LDAP). Por exemplo:
    mqsisetdbparms -n ldap::<servername> -u anonymous -p password
    Nesse caso, o valor especificado para password é ignorado.

Etapas para ativar autorização do LDAP:

Para permitir que um fluxo de mensagens existente execute a autorização utilizando LDAP, utilize o editor de Broker Archive para selecionar um perfil de segurança que tenha autorização ativada. É possível configurar um perfil de segurança em um fluxo de mensagens ou em nós de entrada individuais. Se nenhum perfil de segurança for configurado para os nós de entrada, a configuração será herdada da configuração no fluxo de mensagens.
  1. Alterne para o Perspectiva do Desenvolvimento de Aplicativos do Intermediário.
  2. Na Visualização Desenvolvimento do Broker, clique com o botão direito do mouse no arquivo BAR e, em seguida, clique em Abrir com > Editor do Broker Archive.
  3. Clique na guia Gerenciar e Configurar.
  4. Clique no fluxo ou nó no qual deseja configurar o perfil de segurança. As propriedades que podem ser configuradas ara o fluxo de mensagens ou para o nó serão exibidas na visualização Propriedades.
  5. No campo Nome do Perfil de Segurança, selecione um perfil de segurança que utilize o LDAP para autorização.
  6. Salve o arquivo BAR.

Para um nó SOAPInput utilizar a identidade no cabeçalho WS-Security (em vez de uma identidade de transporte subjacente), um conjunto de políticas e ligações apropriados também devem ser definidos e especificados. Para informações adicionais, consulte Conjuntos de Políticas.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:16


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | ap04151_