In diesem Abschnitt wird beschrieben, wie ein Nachrichtenfluss zur Ausführung der Autorisierung einer Identität mithilfe von LDAP (Lightweight Directory Access Protocol) konfiguriert wird.
Bevor Sie beginnen:
Bevor Sie einen Nachrichtenfluss so
konfigurieren können, dass eine Autorisierung durchgeführt wird, müssen Sie überprüfen, ob ein
geeignetes Sicherheitsprofil existiert, oder ein neues Sicherheitsprofil erstellen. Weitere Informationen hierzu finden Sie unter Sicherheitsprofil für LDAP erstellen.
Bei
Verwendung von LDAP für die Autorisierung muss der Broker ermitteln, ob der ankommende Benutzername
ein Mitglied der angegebenen Gruppe ist. Dazu benötigt der Broker folgende
Informationen:
- Um den Benutzernamen in einen LDAP-Eintrag aufzulösen, muss der Broker den Basis-DN der
akzeptierten Anmelde-ID kennen.
Der Broker benötigt diesen definierten Namen, um zwischen Einträgen
mit dem gleichen Namen unterscheiden zu können.
- Damit eine Eintragsliste aus einem Gruppennamen abgerufen werden kann, muss der Gruppenname dem
definierten Namen der Gruppe entsprechen; es darf kein allgemeiner Name sein. Es wird eine
LDAP-Suche nach der Gruppe durchgeführt, und der Benutzername wird überprüft, indem ein Eintrag
gesucht wird, der mit dem definierten Namen des Benutzers übereinstimmt.
- Wenn Ihr LDAP-Verzeichnis keine Anmeldung nicht erkannter IDs zulässt und keine Zugriffsrechte für die Suche im Unterverzeichnis erlaubt, müssen Sie eine separate autorisierte Anmelde-ID einrichten, die vom Broker für die Suche verwendet werden kann. Geben Sie mit dem Befehl mqsisetdbparms einen Benutzernamen und ein Kennwort an:
mqsisetdbparms -n ldap::LDAP -u Benutzername -p Kennwort
Oder: mqsisetdbparms -n ldap::<Servername> -u Benutzername -p Kennwort
Dabei steht <Servername> für den Basisnamen des LDAP-Servers. Beispiel: ldap.mydomain.com.Bei der Angabe von ldap::LDAP wird eine Standardeinstellung für den Broker erstellt, die der Broker verwendet, wenn Sie den Befehl mqsisetdbparms zur Erstellung einer Anmelde-ID für einen bestimmten <Servernamen> nicht ausdrücklich verwendet haben.
Alle Server ohne den ausdrücklichen Eintrag ldap::servername verwenden dann die Berechtigungsnachweise im Eintrag ldap::LDAP.
Dadurch verwenden alle Server, die bisher standardmäßig das anonyme Binden verwendet haben, die Einzelheiten in ldap::LDAP.
Der im Parameter
-u angegebene Benutzername muss vom LDAP-Server als vollständiger Benutzername erkannt werden. In den meisten Fällen müssen Sie daher den vollständigen definierten Namen des Benutzers angeben. Alternativ dazu können Sie beim Festlegen eines anonymen Benutzernamens den Broker zwingen, eine anonyme Bindung zu diesem LDAP-Server herzustellen. Dies kann hilfreich sein, wenn Sie das nicht anonyme Binden als Standardeinstellung festgelegt haben (ldap::LDAP). Beispiel:
mqsisetdbparms -n ldap::<Servername> -u anonym -p Kennwort
In diesem Fall wird der für
Kennwort angegebene Wert ignoriert.
Schritt zur Aktivierung der LDAP-Autorisierung
Zur Aktivierung eines vorhandenen Nachrichtenflusses für die Ausführung der Autorisierung mithilfe von LDAP können Sie den Brokerarchiveditor verwenden, um ein Sicherheitsprofil auszuwählen, bei dem die Autorisierung aktiviert ist. Sie können ein Sicherheitsprofil für einen Nachrichtenfluss oder individuelle Empfangsknoten festlegen. Wenn für die Empfangsknoten kein Sicherheitsprofil festgelegt wird, wird die Einstellung aus der Einstellung des Nachrichtenflusses übernommen.
- Wechseln Sie zur Ansicht Ansicht 'Brokeranwendungsentwicklung'.
- Klicken Sie in der Ansicht Brokerentwicklung mit der rechten Maustaste auf die Brokerarchivdatei und klicken sie dann auf Öffnen mit > Brokerarchiveditor.
- Klicken Sie auf die Registerkarte Manage and Configure (Verwalten und konfigurieren).
- Klicken Sie auf den Fluss oder Knoten, in dem Sie das Sicherheitsprofil festlegen möchten. Die Eigenschaften, die Sie für den Nachrichtenfluss oder für den Knoten
konfigurieren können, werden in der Ansicht Eigenschaften angezeigt.
- Wählen Sie im Feld Name des Sicherheitsprofils ein Sicherheitsprofil aus, bei dem die LDAP-Autorisierung verwendet wird.
- Speichern Sie die BAR-Datei.
Damit ein SOAPInput-Knoten die Identität im WS-Sicherheitsheader verwenden kann (anstelle einer unterliegenden Transportidentität), müssen zusätzlich Richtliniensätze und Bindungen definiert und angegeben werden. Der Abschnitt Richtliniensätze enthält weitere
Informationen hierzu.