WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configuración de la autenticación con LDAP

Este tema describe cómo configurar un flujo de mensajes para realizar la autenticación de identidad utilizando Lightweight Directory Access Protocol (LDAP).

Antes de empezar:

Para poder configurar un flujo de mensajes a fin de realizar la autenticación de identidad utilizando LDAP, es necesario comprobar que existe un perfil de seguridad apropiado o crear un nuevo perfil de seguridad. Consulte el apartado Creación de un perfil de seguridad para LDAP.

Para autenticar la identidad de un usuario o sistema, el intermediario intenta conectarse al servidor LDAP utilizando el nombre de usuario y la contraseña que están asociados con la identidad. Para ello, el intermediario necesita la información siguiente:
  • Para resolver el nombre de usuario en una entrada LDAP, el intermediario necesita conocer el nombre distinguido base (DN base) de los ID de inicio de sesión aceptados. Esto es necesario para que el intermediario pueda diferenciar entre distintas entradas con el mismo nombre.
  • Si las identidades no tienen todas un DN base común, pero se pueden resolver de forma exclusiva desde un subárbol, se puede especificar el DN en la configuración de intermediario. Cuando se ha especificado una búsqueda de subárbol, el intermediario debe conectarse primero al servidor LDAP y buscar el nombre de usuario proporcionado a fin de obtener el nombre distinguido (DN) de nombre usuario completo que se debe utilizar para la autenticación. Si el directorio LDAP no permite el inicio de sesión de ID no reconocidos y no otorga derechos de acceso de búsqueda en el subárbol, debe configurar un ID de inicio de sesión autorizado independiente que el intermediario puede utilizar para la búsqueda. Utilice el mandato mqsisetdbparms para especificar un nombre de usuario y una contraseña. Por ejemplo:
    mqsisetdbparms -n ldap::LDAP -u nombreusuario -p contraseña
    o
    mqsisetdbparms -n ldap::<nombreservidor> -u nombreusuario -p contraseña

    donde <nombreservidor> es el nombre de servidor LDAP base, por ejemplo ldap.mydomain.com.

    Si especifica ldap::LDAP, éste crea un valor predeterminado para el intermediario, que el intermediario intenta utilizar si no ha utilizado explícitamente el mandato mqsisetdbparms para crear un ID de inicio de sesión para un <nombreservidor> específico. Todos los servidores que no tienen una entrada ldap::nombreservidor explícita empiezan a utilizar las credenciales en la entrada ldap::LDAP. Esto significa que los servidores que utilizaban anteriormente enlaces anónimos de forma predeterminada empezarán a utilizar los detalles en ldap::LDAP.

    El servidor LDAP debe reconocer como nombre de usuario completo el nombre de usuario que especifique en el parámetro -u. En la mayoría de los casos esto significa que necesita especificar el DN (nombre distinguido) completo del usuario. De forma alternativa, si especifica que un nombre de usuario sea anónimo, puede forzar que el intermediario se enlace de forma anónima a este servidor LDAP. Esto puede ser útil si ha especificado un enlace no anónimo como valor predeterminado (ldap::LDAP). Por ejemplo:
    mqsisetdbparms -n ldap::<nombreservidor> -u anonymous -p contraseña
    En este caso, el valor especificado para contraseña se ignora.

Pasos para habilitar la autenticación de LDAP:

Para habilitar un flujo de mensajes existente para realizar la autenticación de identidad, utilice el editor de Archivador de intermediario para seleccionar un perfil de seguridad que utilice LDAP para la autenticación. Puede establecer un perfil de seguridad en un flujo de mensajes o en nodos de entrada individuales. Si no se establece ningún perfil de seguridad para los nodos de entrada, se hereda el valor del valor del flujo de mensajes.
  1. Vaya a la perspectiva Desarrollo de aplicaciones de intermediario.
  2. En la Vista Desarrollo de intermediario, pulse el botón derecho del ratón en el archivo BAR y luego pulse Abrir con > Editor de archivador de intermediario.
  3. Pulse el separador Gestionar y configurar.
  4. Pulse el flujo o el nodo en el que desea establecer el perfil de seguridad. Las propiedades que puede configurar para el flujo de mensajes para el nodo se visualizan en la vista Propiedades.
  5. En el campo Nombre del perfil de seguridad, seleccione un perfil de seguridad que utilice LDAP para la autenticación.
  6. Guarde el archivo BAR.

Para que un nodo SOAPInput utilice la identidad en la cabecera WS-Security (en lugar de una identidad de transporte subyacente), también se deben definir y especificar un conjunto de políticas apropiado y enlaces. Para obtener más información, consulte Conjuntos de políticas.

Si la identidad de mensaje no contiene suficiente información para la autenticación, se debe tomar la información del cuerpo de mensaje. Por ejemplo, si se necesita una contraseña para la autenticación pero el mensaje procedía de WebSphere MQ sólo con un nombre de usuario, la información de contraseña se debe tomar del cuerpo de mensaje. Para obtener más información, consulte Configuración de la extracción de una identidad o una señal de seguridad.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:16


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap04121_