Um diretório LDAP é uma listagem de informações sobre objetos organizados em uma ordem específica que oferece detalhes sobre cada objeto. O LDAP é um banco de dados especializado que possui características que o diferenciam dos bancos de dados relacionais para uso geral. Uma característica especial dos diretórios é que eles são acessados (lidos ou pesquisados) com freqüência muito maior do que são atualizados (gravados). Centenas de pessoas podem consultar o número de telefone de uma pessoa, mas o número de telefone raramente muda.
O IBM Telephone Directory V5.2 é utilizado para pesquisar, visualizar e gerenciar entradas em um diretório existente, ou é utilizado para configurar um novo diretório. O aplicativo utiliza um servidor de diretório LDAP para armazenar e recuperar dados. Por padrão, o servidor LDAP é automaticamente configurado em seu servidor, a menos que outro servidor LDAP já exista em sua rede. Não é necessário que o servidor LDAP esteja localizado no mesmo servidor do servidor de aplicativos.
Além disso, você pode também utilizar o servidor LDAP Domino com o IBM Telephone Directory. Para obter informações adicionais, consulte o Redpaper WebSphere Application Server Express.
O servidor LDAP pode ser acessado através de TCP/IP.
Entradas do LDAP
A única configuração padrão da instalação do IBM Telephone Directory V5.2 é permitir aos usuários pesquisar no diretório de forma anônima.
Quando você utiliza o aplicativo IBM Telephone Directory V5.2 para incluir uma entrada no diretório, uma entrada é criada no DN pai do usuário, utilizando o valor de ID de usuário. Por exemplo, se você registrar John Jones no DN paicn=users,dc=myhost,dc=mycompany,dc=com, sua entrada LDAP é cn=John Jones,cn=users,dc=myhost,dc=mycompany,dc=com. A atualização do DN pai é oculta para o usuário e o administrador do IBM Telephone Directory V5.2. Objetos em um diretório têm referência feita através de um atributo de DN (nome distinto). Durante a autenticação, John recebe uma solicitação para informar seu ID de usuário. Ele deve informar o ID de usuário que foi especificado durante o registro. Nesse exemplo, seu nome de usuário era John Jones.
Entradas de diretório existentes podem ser pesquisadas, visualizadas e gerenciadas caso baseiem-se na classe de objeto inetOrgPerson padrão. Essa classe de objeto é uma classe padrão de mercado que é utilizada com freqüência para representar e armazenar informações sobre pessoas, como nome e sobrenome, números de telefone e endereços de e-mail. O diretório pode conter entradas para outras classes de objetos, como as classes utilizadas pelo aplicativo para pesquisar no diretório; no entanto, a classe de objeto padrão é inetOrgPerson.
Entradas de diretório modificadas pelo aplicativo possuem uma classe de objeto auxiliar incluída nelas, denominada ibm-itdPerson. A classe de objeto ibm-itdPerson permite ao aplicativo IBM Telephone Directory V5.2 utilizar atributos adicionais não disponíveis com classes de objeto padrão. Atributos adicionais incluem números de telefone alternativos, endereços alternativos, valores de DN para assistentes e backup, bem como informações sobre local de trabalho incluindo responsabilidade no trabalho, região de marketing e área comercial. Todos os atributos do objeto ibm-itdPerson auxiliar são opcionais. A classe é incluída para oferecer uma forma de armazenar informações adicionais sobre uma pessoa que não está incluída na classe de objeto inetOrgPerson.
Quando o aplicativo receber um pedido, ele deve conectar-se ao servidor LDAP para ter efeito sobre ele. Os pedidos são realizados sob a autoridade do usuário que é especificado. O aplicativo utiliza credenciais transmitidas por pedidos HTTP para conectar-se ao servidor LDAP, se necessário. O aplicativo exige credenciais para alguns pedidos, como um pedido para criar, atualizar ou excluir entradas de diretório. As credenciais exigidas para incluir novas entradas são fornecidas pelo administrador quando a assinatura aberta está ativada.
Se credenciais não forem exigidas para pesquisar pedidos, o aplicativo conecta-se ao servidor LDAP utilizando uma ligação anônima para pesquisar no diretório. Para ter acesso a pesquisas anônimas, a configuração Acesso ao Diretório deve ser definida para Anônimo (sem login). Se credenciais forem exigidas para pesquisar pedidos, o aplicativo conecta-se ao servidor LDAP utilizando as credenciais do usuário que são transmitidas pelos pedidos HTTP. O pedido falha se as credenciais não forem fornecidas. Para acesso de pesquisa autenticada, a configuração Acesso ao Diretório deve estar definida para Login Requerido. Consulte Modificar Acesso do Diretório para obter informações adicionais.
O servidor LDAP controla o que os usuários estão autorizados a fazer e se seus pedidos são bem-sucedidos ou malsucedidos. Isso inclui pedidos de usuário anônimos. Todas as configurações de autorização do diretório são especificadas e controladas pelo servidor LDAP. O aplicativo transforma pedidos HTTP em pedidos LDAP, garante que as credenciais sejam manipuladas e fornecidas para o servidor LDAP de forma segura e formata os resultados do LDAP (sucesso ou falha) em páginas HTML semelhantes a um catálogo de endereços.
Os usuários fornecem as credenciais que o aplicativo utiliza para conectar-se ao servidor LDAP. As credenciais do usuário não são utilizadas para conectar-se ao servidor LDAP quando a assinatura aberta é especificada. Para assinatura aberta, as credenciais são lidas a partir do arquivo de configuração do aplicativo. O servidor HTTP é requerido para autenticar o usuário quando for necessário. O aplicativo utiliza as credenciais fornecidas em cada pedido (quando necessário) para conectar-se ao servidor LDAP. O aplicativo não armazena as credenciais em cache ou reutiliza conexões LDAP para manipular vários pedidos HTTP. As conexões LDAP são desconectadas após cada pedido, impedindo que o aplicativo conecte-se utilizando as credenciais de um usuário para atender ao pedido de outro usuário. Se o servidor HTTP não fornecer as credenciais necessárias para conectar-se ao servidor LDAP, o aplicativo falha.