Este tema describe cómo configurar un flujo
de mensajes para realizar la autenticación de identidad utilizando Lightweight Directory
Access Protocol (LDAP).
Antes de empezar:
Para poder configurar
un flujo de mensajes a fin de realizar la autenticación de identidad utilizando LDAP,
es necesario comprobar que existe un perfil de seguridad apropiado o crear un
nuevo perfil de seguridad. Consulte el apartado Creación de un perfil de seguridad para LDAP.
Para
autenticar la identidad de un usuario o sistema, el intermediario intenta conectarse al
servidor LDAP utilizando el nombre de usuario y la contraseña que están asociados con la
identidad. Para ello, el intermediario necesita la información siguiente:
- Para resolver el nombre de usuario en una entrada LDAP, el intermediario necesita
conocer el nombre distinguido base
(DN base) de los ID de inicio de sesión aceptados.
Esto es necesario para que el
intermediario pueda diferenciar entre distintas entradas con el mismo nombre.
- Si las identidades no tienen todas un DN base común, pero se pueden resolver de
forma exclusiva desde un subárbol, se puede especificar el DN en la configuración de
intermediario. Cuando se ha especificado una búsqueda de subárbol, el intermediario debe conectarse primero
al servidor LDAP y buscar el nombre de usuario proporcionado a fin de obtener el nombre
distinguido (DN) de nombre usuario completo que se debe utilizar para la autenticación. Si
el directorio LDAP no permite el inicio de sesión de
ID no reconocidos y no otorga derechos de acceso de búsqueda en el subárbol,
debe configurar un ID de inicio de sesión autorizado independiente que el
intermediario puede utilizar para la búsqueda. Utilice
el mandato mqsisetdbparms
para especificar un nombre de usuario y una contraseña. Por ejemplo:
mqsisetdbparms -n ldap::LDAP -u nombreusuario -p contraseña
omqsisetdbparms -n ldap::<nombreservidor> -u nombreusuario -p contraseña
donde
<nombreservidor>
es el nombre de servidor LDAP base, por ejemplo ldap.mydomain.com.
Si especifica
ldap::LDAP, éste crea un valor predeterminado para el intermediario,
que el intermediario intenta utilizar si no ha utilizado explícitamente
el mandato mqsisetdbparms
para crear un ID de inicio de sesión para un <nombreservidor>
específico.
Todos los servidores que no tienen una entrada
ldap::nombreservidor explícita empiezan a utilizar
las credenciales en la entrada ldap::LDAP.
Esto significa que los servidores que utilizaban anteriormente enlaces anónimos de forma
predeterminada empezarán a utilizar los detalles en
ldap::LDAP.
El servidor LDAP debe reconocer como nombre de usuario
completo el nombre de usuario que especifique en el parámetro
-u. En la mayoría de los casos esto significa que necesita especificar el DN (nombre distinguido)
completo del usuario. De forma alternativa, si especifica que un nombre de usuario sea anónimo,
puede forzar que el intermediario se enlace de forma anónima a este
servidor LDAP. Esto puede ser útil si ha especificado un enlace no anónimo
como valor predeterminado (ldap::LDAP). Por ejemplo:
mqsisetdbparms -n ldap::<nombreservidor> -u anonymous -p contraseña
En
este caso, el valor especificado para
contraseña se ignora.
Pasos
para habilitar la autenticación de LDAP:
Para habilitar un flujo de mensajes existente para realizar la autenticación de identidad,
utilice el editor de Archivador de intermediario para seleccionar un perfil de seguridad
que utilice LDAP para la autenticación. Puede establecer un perfil de seguridad en un flujo de mensajes
o en nodos de entrada individuales.
Si no se establece ningún perfil de seguridad
para los nodos de entrada, se hereda el valor del valor del flujo de mensajes.
- Vaya a la perspectiva
Desarrollo de aplicaciones de intermediario.
- En la Vista Desarrollo de intermediario, pulse el botón derecho del
ratón en el archivo BAR y luego pulse Abrir con >
Editor de archivador de intermediario.
- Pulse el separador Gestionar y configurar.
- Pulse el flujo o el nodo en el que desea establecer el perfil de seguridad. Las propiedades que puede configurar para el flujo de mensajes para el nodo se visualizan en la vista Propiedades.
- En el campo Nombre del perfil de seguridad, seleccione
un perfil de seguridad que utilice LDAP para la autenticación.
- Guarde el archivo BAR.
Para que un nodo SOAPInput utilice la identidad en la cabecera WS-Security
(en lugar de una identidad de transporte subyacente), también se deben definir y especificar un
conjunto de políticas apropiado y enlaces.
Para obtener más información, consulte
Conjuntos de políticas.
Si la identidad de mensaje no contiene suficiente información para la
autenticación, se debe tomar la información del cuerpo de mensaje. Por ejemplo, si
se necesita una contraseña para la autenticación pero el mensaje procedía de
WebSphere
MQ sólo con un nombre de usuario, la información de contraseña se debe tomar del
cuerpo de mensaje. Para obtener más información, consulte
Configuración de la extracción de una identidad o una señal de seguridad.