사용자 레지스트리의 연합

사용자 레지스트리 연합은 usergroup 정보가 여러 레지스트리에 걸쳐 분산된 경우에 사용됩니다. 예를 들어, 정보는 두 개의 서로 다른 LDAP, 동일한 LDAP의 두 서브트리, 파일에 있을 수 있습니다. 또는 사용자는 동일 시스템의 사용자일 수 있습니다. 정보는 심지어 사용자 정의 사용자 데이터 저장소에 있을 수도 있습니다. 연합된 레지스트리에서는 정보의 연속적 저장소에서 통합적인 방식으로 이렇게 분산된 사용자 정보를 검색하고 사용할 수 있습니다. 연합된 레지스트리를 사용하면 Liberty에서 사용자의 인증 및 권한 부여에 대한 통합 보기를 사용할 수 있습니다.

참고: 빠른 시작 보안(quickStartSecurity)은 LDAP, 기본, SAF 및 사용자 정의 레지스트리 등의 다른 사용자 레지스트리와 연합할 수 없습니다.

사용자 레지스트리가 연합되는 방법

LDAP 레지스트리는 기본적으로 연합됩니다. 둘 이상의 LDAP 레지스트리가 server.xml에서 구성된 경우, 레지스트리가 자동으로 연합되며 추가 구성이 필요하지 않습니다. 이는 두 개의 별도 LDAP이거나 동일 LDAP의 두 하위 트리일 수 있습니다.
하나 이상의 LDAP 레지스트리가 하나 이상의 기본, SAF 또는 사용자 정의 레지스트리로 구성된 경우, 해당 레지스트리도 추가 구성 없이 연합됩니다. 다음 예는 LDAP로 연합된 기본 레지스트리를 보여줍니다.
<server description="Federation">
    <featureManager>
        <feature>appSecurity-2.0</feature>
        <feature>servlet-3.0</feature>
	 <feature>ldapRegistry-3.0</feature>
    </featureManager>
    <basicRegistry id="basic" realm="SampleBasicRealm">
        <user name="admin" password="password" />
        <user name="user1" password="password" />
            <user name="user2" password="password" />
        <group name="memberlessGroup" />
        <group name="adminGroup">
            <member name="admin"/>
        </group>
        <group name="users">
            <member name="user1"/>
            <member name="user2"/>
        </group>
    </basicRegistry>

    <ldapRegistry id="LDAP1" realm="SampleLdapIDSRealm" host="LDAPHOST1.ibm.com" port="389" ignoreCase="true"
	baseDN="o=ibm,c=us"
	ldapType="IBM Tivoli Directory Server"
	searchTimeout="8m"
	recursiveSearch="true">
    </ldapRegistry>
</server>
두 개의 기본 레지스트리 또는 SAF의 기본 레지스트리 또는 사용자 정의 레지스트리를 연합하고자 하는 경우에는 다음 예에서 표시된 대로 appSecurity-2.0 기능에 추가하여 federatedRegistry-1.0을 포함함으로써 이를 수행할 수 있습니다.
    <feature>appSecurity-2.0</feature>
    <feature>federatedRegistry-1.0</feature>
다음 예는 두 개의 기본 레지스트리의 연합을 보여줍니다.
<server description="Federation">
    <featureManager>
        <feature>appSecurity-2.0</feature>
        <feature>federatedRegistry-1.0</feature>
    </featureManager>
    <basicRegistry id="basic1" realm="SampleBasicRealm1">
        <user name="admin" password="password" />
        <user name="user1" password="password" />
            <user name="user2" password="password" />
        <group name="memberlessGroup" />
        <group name="adminGroup">
            <member name="admin"/>
        </group>
        <group name="users">
            <member name="user1"/>
            <member name="user2"/>
        </group>
    </basicRegistry>

    <basicRegistry id="basic2" realm="SampleBasicRealm2">
        <user name="user3" password="password123" />
        <user name="user4" password="password123" />
        <group name="memberlessGroup2" />
        <group name="users2">
            <member name="user3"/>
            <member name="user4"/>
        </group>
    </basicRegistry>
</server>
기본 레지스트리는 사용자 정의된 연합 저장소에 추가할 수 있습니다. federatedRepository 요소에서 participatingBaseEntry 이름 필드를 정의하여 기본 레지스트리를 추가합니다. 기본 레지스트리에 참여 중인 기본 항목은 기본 레지스트리의 영역 이름에 설정된 조직 속성입니다. 다음 예제는 두 가지 기본 레지스트리의 사용자 정의 연합을 보여줍니다.
<federatedRepository>
    <primaryRealm name="PrimaryRealm">
        <participatingBaseEntry name="o=SampleBasicRealm1"/>
        <participatingBaseEntry name="o=SampleBasicRealm2"/>
    </primaryRealm>
</federatedRepository>
사용자 정의 레지스트리도 사용자 정의된 연합 저장소에 추가할 수 있습니다. federatedRepository 요소에서 participatingBaseEntry 이름 필드를 정의하여 사용자 정의 레지스트리를 추가합니다. 사용자 정의 레지스트리에 참여 중인 기본 항목은 사용자 정의 레지스트리의 영역 이름에 설정된 조직 속성입니다. 다음 예는 사용자 정의된 항목의 연합을 보여줍니다.
<federatedRepository>
    <primaryRealm name="PrimaryRealm">
        <participatingBaseEntry name="o=customRegistryRealm1"/>
    </primaryRealm>
</federatedRepository>

하나 이상의 비SAF 레지스트리가 포함된 SAF 레지스트리를 사용 가능한 SAF 권한 부여와 연합하려면 분배된 ID 필터를 구성하여 SAF 사용자 ID에 비SAF 사용자를 맵핑해야 합니다. 다음 예제는 LDAP 레지스트리와 연합되고 사용 가능한 분배된 ID 맵핑과 연합되는 SAF 레지스트리에 대해 설명합니다. LDAP 사용자를 SAF 사용자 ID에 맵핑하기 위해 정의된 RACMAP 프로파일이 REGISTRY(NAME('FEDREALM')를 지정하도록 primaryRealm 이름이 federatedReposity 요소에 지정됩니다.

<server description="Federated SAF and LDAP">
          <featureManager>
          <feature>appSecurity-2.0</feature>
          <feature>federatedRegistry-1.0</feature>
          <feature>zosSecurity-1.0</feature>
          <feature>ldapRegistry-3.0</feature>
          </featureManager>        <federatedRepository>
              <primaryRealm name="FEDREALM">
              </primaryRealm>
        </federatedRepository>

 <!-- SAF user registry -->    
 <safRegistry id="saf" realm="SAFREALM" /> 
 <safAuthorization id="saf" racRouteLog="ASIS" /> 
 <safCredentials unauthenticatedUser="WSGUEST"
                            profilePrefix="BBGZDFLT"
                            mapDistributedIdentities="true" />    
 <safRoleMapper profilePattern="%profilePrefix%.%resource%.%role%"
                            toUpperCase="false" />

  <ldapRegistry id="LDAP1" realm="LDAPREALM" 
      ldapType="IBM Tivoli Directory Server"
      host="LDAP1HOST.ibm.com" port="389"        
      baseDN="o=ibm,c=us"
      searchTimeout="8m"
      ignoreCase="true"        
      bindDN="uid=ldapadm,cn=users,o=ibm,c=us"        
      bindPassword="ldapadmpw"  
      sslEnabled="false">        
      <idsFilters
          userFilter="(&amp;(uid=%v)(objectclass=inetOrgPerson))"
          groupFilter="(&amp;(cn=%v)(objectclass=groupOfUniqueNames))"
          userIdMap="*:uid" 
          groupIdMap="*:cn" 
          groupMemberIdMap="groupOfUniqueNames:uniquemember">         
          </idsFilters>
   </ldapRegistry>
</server>

주제의 유형을 표시하는 아이콘 개념 주제

파일 이름: cwlp_repository_federation.html