WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configuración de la autorización con LDAP

Este tema explica cómo configurar un flujo de mensajes para realizar la autorización en una identidad utilizando Lightweight Directory Access Protocol (LDAP).

Antes de empezar:

Para poder configurar un flujo de mensajes a fin de realizar la autorización, es necesario comprobar que existe un perfil de seguridad apropiado o crear un nuevo perfil de seguridad. Consulte el apartado Creación de un perfil de seguridad para LDAP.

Cuando se utiliza LDAP para la autorización, el intermediario necesita determinar si el nombre de usuario de entrada es miembro del grupo proporcionado. Para ello, el intermediario necesita la información siguiente:
  • Para resolver el nombre de usuario en una entrada LDAP, el intermediario necesita conocer el nombre distinguido base (DN base) de los ID de inicio de sesión aceptados. Esto es necesario para que el intermediario pueda diferenciar entre distintas entradas con el mismo nombre.
  • Para obtener una lista de entrada de un nombre de grupo, el nombre de grupo debe ser el nombre distinguido del grupo, no simplemente un nombre común. Se realiza una búsqueda LDAP del grupo y se comprueba el nombre de usuario buscando una entrada que coincida con el nombre distinguido del usuario.
  • Si el directorio LDAP no permite el inicio de sesión por parte de ID no reconocidos y no otorga derechos de acceso de búsqueda en el subárbol, debe configurar un ID de inicio de sesión autorizado independiente que el intermediario puede utilizar para la búsqueda. Utilice el mandato mqsisetdbparms para especificar un nombre de usuario y una contraseña:
    mqsisetdbparms -n ldap::LDAP -u nombreusuario -p contraseña
    o
    mqsisetdbparms -n ldap::<nombreservidor> -u nombreusuario -p contraseña
    donde <nombreservidor> es el nombre de servidor LDAP básico. Por ejemplo: ldap.mydomain.com.

    Si especifica ldap::LDAP, éste crea un valor predeterminado para el intermediario, que el intermediario intenta utilizar si no ha utilizado explícitamente el mandato mqsisetdbparms para crear un ID de inicio de sesión para un <nombreservidor> específico. Todos los servidores que no tienen una entrada ldap::nombreservidor explícita empiezan a utilizar las credenciales en la entrada ldap::LDAP. Esto significa que los servidores que utilizaban anteriormente enlaces anónimos de forma predeterminada empezarán a utilizar los detalles en ldap::LDAP.

    El servidor LDAP debe reconocer como nombre de usuario completo el nombre de usuario que especifique en el parámetro -u. En la mayoría de los casos esto significa que necesita especificar el DN (nombre distinguido) completo del usuario. De forma alternativa, si especifica que un nombre de usuario sea anónimo, puede forzar que el intermediario se enlace de forma anónima a este servidor LDAP. Esto puede ser útil si ha especificado un enlace no anónimo como valor predeterminado (ldap::LDAP). Por ejemplo:
    mqsisetdbparms -n ldap::<nombreservidor> -u anonymous -p contraseña
    En este caso, el valor especificado para contraseña se ignora.

Pasos para permitir la autorización de LDAP:

Para permitir que un flujo de mensajes existente realice la autorización utilizando LDAP, utilice el editor de Archivador de intermediario para seleccionar un perfil de seguridad que tenga la autorización habilitada. Puede establecer un perfil de seguridad en un flujo de mensajes o en nodos de entrada individuales. Si no se establece ningún perfil de seguridad para los nodos de entrada, se hereda el valor del valor del flujo de mensajes.
  1. Vaya a la perspectiva Desarrollo de aplicaciones de intermediario.
  2. En la Vista Desarrollo de intermediario, pulse el botón derecho del ratón en el archivo BAR y luego pulse Abrir con > Editor de archivador de intermediario.
  3. Pulse el separador Gestionar y configurar.
  4. Pulse el flujo o el nodo en el que desea establecer el perfil de seguridad. Las propiedades que puede configurar para el flujo de mensajes para el nodo se visualizan en la vista Propiedades.
  5. En el campo Nombre del perfil de seguridad, seleccione un perfil de seguridad que utilice LDAP para la autorización.
  6. Guarde el archivo BAR.

Para que un nodo SOAPInput utilice la identidad en la cabecera WS-Security (en lugar de una identidad de transporte subyacente), también se deben definir y especificar un conjunto de políticas apropiado y enlaces. Para obtener más información, consulte Conjuntos de políticas.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:17


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap04151_