WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Autorisierung mit LDAP konfigurieren

In diesem Abschnitt wird beschrieben, wie ein Nachrichtenfluss zur Ausführung der Autorisierung einer Identität mithilfe von LDAP (Lightweight Directory Access Protocol) konfiguriert wird.

Bevor Sie beginnen:

Bevor Sie einen Nachrichtenfluss so konfigurieren können, dass eine Autorisierung durchgeführt wird, müssen Sie überprüfen, ob ein geeignetes Sicherheitsprofil existiert, oder ein neues Sicherheitsprofil erstellen. Weitere Informationen hierzu finden Sie unter Sicherheitsprofil für LDAP erstellen.

Bei Verwendung von LDAP für die Autorisierung muss der Broker ermitteln, ob der ankommende Benutzername ein Mitglied der angegebenen Gruppe ist. Dazu benötigt der Broker folgende Informationen:
  • Um den Benutzernamen in einen LDAP-Eintrag aufzulösen, muss der Broker den Basis-DN der akzeptierten Anmelde-ID kennen. Der Broker benötigt diesen definierten Namen, um zwischen Einträgen mit dem gleichen Namen unterscheiden zu können.
  • Damit eine Eintragsliste aus einem Gruppennamen abgerufen werden kann, muss der Gruppenname dem definierten Namen der Gruppe entsprechen; es darf kein allgemeiner Name sein. Es wird eine LDAP-Suche nach der Gruppe durchgeführt, und der Benutzername wird überprüft, indem ein Eintrag gesucht wird, der mit dem definierten Namen des Benutzers übereinstimmt.
  • Wenn Ihr LDAP-Verzeichnis keine Anmeldung nicht erkannter IDs zulässt und keine Zugriffsrechte für die Suche im Unterverzeichnis erlaubt, müssen Sie eine separate autorisierte Anmelde-ID einrichten, die vom Broker für die Suche verwendet werden kann. Geben Sie mit dem Befehl mqsisetdbparms einen Benutzernamen und ein Kennwort an:
    mqsisetdbparms -n ldap::LDAP -u Benutzername -p Kennwort
    Oder:
    mqsisetdbparms -n ldap::<Servername> -u Benutzername -p Kennwort
    Dabei steht <Servername> für den Basisnamen des LDAP-Servers. Beispiel: ldap.mydomain.com.

    Bei der Angabe von ldap::LDAP wird eine Standardeinstellung für den Broker erstellt, die der Broker verwendet, wenn Sie den Befehl mqsisetdbparms zur Erstellung einer Anmelde-ID für einen bestimmten <Servernamen> nicht ausdrücklich verwendet haben. Alle Server ohne den ausdrücklichen Eintrag ldap::servername verwenden dann die Berechtigungsnachweise im Eintrag ldap::LDAP. Dadurch verwenden alle Server, die bisher standardmäßig das anonyme Binden verwendet haben, die Einzelheiten in ldap::LDAP.

    Der im Parameter -u angegebene Benutzername muss vom LDAP-Server als vollständiger Benutzername erkannt werden. In den meisten Fällen müssen Sie daher den vollständigen definierten Namen des Benutzers angeben. Alternativ dazu können Sie beim Festlegen eines anonymen Benutzernamens den Broker zwingen, eine anonyme Bindung zu diesem LDAP-Server herzustellen. Dies kann hilfreich sein, wenn Sie das nicht anonyme Binden als Standardeinstellung festgelegt haben (ldap::LDAP). Beispiel:
    mqsisetdbparms -n ldap::<Servername> -u anonym -p Kennwort
    In diesem Fall wird der für Kennwort angegebene Wert ignoriert.

Schritt zur Aktivierung der LDAP-Autorisierung

Zur Aktivierung eines vorhandenen Nachrichtenflusses für die Ausführung der Autorisierung mithilfe von LDAP können Sie den Brokerarchiveditor verwenden, um ein Sicherheitsprofil auszuwählen, bei dem die Autorisierung aktiviert ist. Sie können ein Sicherheitsprofil für einen Nachrichtenfluss oder individuelle Empfangsknoten festlegen. Wenn für die Empfangsknoten kein Sicherheitsprofil festgelegt wird, wird die Einstellung aus der Einstellung des Nachrichtenflusses übernommen.
  1. Wechseln Sie zur Ansicht Ansicht 'Brokeranwendungsentwicklung'.
  2. Klicken Sie in der Ansicht Brokerentwicklung mit der rechten Maustaste auf die Brokerarchivdatei und klicken sie dann auf Öffnen mit > Brokerarchiveditor.
  3. Klicken Sie auf die Registerkarte Manage and Configure (Verwalten und konfigurieren).
  4. Klicken Sie auf den Fluss oder Knoten, in dem Sie das Sicherheitsprofil festlegen möchten. Die Eigenschaften, die Sie für den Nachrichtenfluss oder für den Knoten konfigurieren können, werden in der Ansicht Eigenschaften angezeigt.
  5. Wählen Sie im Feld Name des Sicherheitsprofils ein Sicherheitsprofil aus, bei dem die LDAP-Autorisierung verwendet wird.
  6. Speichern Sie die BAR-Datei.

Damit ein SOAPInput-Knoten die Identität im WS-Sicherheitsheader verwenden kann (anstelle einer unterliegenden Transportidentität), müssen zusätzlich Richtliniensätze und Bindungen definiert und angegeben werden. Der Abschnitt Richtliniensätze enthält weitere Informationen hierzu.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:54


TaskthemaTaskthema | Version 8.0.0.5 | ap04151_