Este tema explica cómo configurar un flujo de mensajes
para realizar la autorización en una identidad utilizando Lightweight Directory
Access Protocol (LDAP).
Antes de empezar:
Para poder configurar
un flujo de mensajes a fin de realizar la autorización, es necesario comprobar
que existe un perfil de seguridad apropiado o crear un nuevo perfil de seguridad. Consulte el apartado Creación de un perfil de seguridad para LDAP.
Cuando se utiliza
LDAP para la autorización, el intermediario necesita determinar si el nombre de usuario de
entrada es miembro del grupo proporcionado. Para ello,
el intermediario necesita la información siguiente:
- Para resolver el nombre de usuario en una entrada LDAP, el intermediario necesita
conocer el nombre distinguido base
(DN base) de los ID de inicio de sesión aceptados.
Esto es necesario para que el
intermediario pueda diferenciar entre distintas entradas con el mismo nombre.
- Para obtener una lista de entrada de un nombre de grupo, el nombre de grupo debe ser
el nombre distinguido del grupo, no simplemente un nombre común. Se realiza una búsqueda
LDAP del grupo y se comprueba el nombre de usuario buscando una entrada que coincida con el
nombre distinguido del usuario.
- Si el directorio LDAP no permite el inicio de sesión por parte de
ID no reconocidos y no otorga derechos de acceso de búsqueda en el subárbol,
debe configurar un ID de inicio de sesión autorizado independiente que el
intermediario puede utilizar para la búsqueda. Utilice
el mandato mqsisetdbparms
para especificar un nombre de usuario y una contraseña:
mqsisetdbparms -n ldap::LDAP -u nombreusuario -p contraseña
o mqsisetdbparms -n ldap::<nombreservidor> -u nombreusuario -p contraseña
donde
<nombreservidor> es el nombre de servidor
LDAP básico. Por ejemplo: ldap.mydomain.com.Si especifica
ldap::LDAP, éste crea un valor predeterminado para el intermediario,
que el intermediario intenta utilizar si no ha utilizado explícitamente
el mandato mqsisetdbparms
para crear un ID de inicio de sesión para un <nombreservidor>
específico.
Todos los servidores que no tienen una entrada
ldap::nombreservidor explícita empiezan a utilizar
las credenciales en la entrada ldap::LDAP.
Esto significa que los servidores que utilizaban anteriormente enlaces anónimos de forma
predeterminada empezarán a utilizar los detalles en
ldap::LDAP.
El servidor LDAP debe reconocer como nombre de usuario
completo el nombre de usuario que especifique en el parámetro
-u. En la mayoría de los casos esto significa que necesita especificar el DN (nombre distinguido)
completo del usuario. De forma alternativa, si especifica que un nombre de usuario sea anónimo,
puede forzar que el intermediario se enlace de forma anónima a este
servidor LDAP. Esto puede ser útil si ha especificado un enlace no anónimo
como valor predeterminado (ldap::LDAP). Por ejemplo:
mqsisetdbparms -n ldap::<nombreservidor> -u anonymous -p contraseña
En
este caso, el valor especificado para
contraseña se ignora.
Pasos
para permitir la autorización de LDAP:
Para permitir que un flujo de mensajes existente realice la autorización utilizando
LDAP, utilice el editor de Archivador de intermediario para seleccionar un perfil de seguridad
que tenga la autorización habilitada. Puede establecer un perfil de seguridad en un flujo de mensajes
o en nodos de entrada individuales. Si no se establece ningún perfil de seguridad
para los nodos de entrada, se hereda el valor del valor del flujo de mensajes.
- Vaya a la perspectiva
Desarrollo de aplicaciones de intermediario.
- En la Vista Desarrollo de intermediario, pulse el botón derecho del
ratón en el archivo BAR y luego pulse Abrir con >
Editor de archivador de intermediario.
- Pulse el separador Gestionar y configurar.
- Pulse el flujo o el nodo en el que desea establecer el perfil de seguridad. Las propiedades que puede configurar para el flujo de mensajes para el nodo se visualizan en la vista Propiedades.
- En el campo Nombre del perfil de seguridad, seleccione
un perfil de seguridad que utilice LDAP para la autorización.
- Guarde el archivo BAR.
Para que un nodo SOAPInput utilice la identidad en la cabecera WS-Security
(en lugar de una identidad de transporte subyacente), también se deben definir y especificar un
conjunto de políticas apropiado y enlaces. Para obtener más información, consulte
Conjuntos de políticas.