Zugehörigkeit zu Benutzergruppen in einer LDAP-Registry lokalisieren

Sie können die Sicherheitseinrichtung von WebSphere Application Server für die Verwendung von LDAP-Servern (Lightweight Directory Access Protocol) konfigurieren. Die LDAP-Spezifikationen lassen verschiedene Verfahren für die Definition von Gruppenzugehörigkeiten zu. Je nach Implementierung des LDAP-Servers können Sie verschiedene Methoden zur Bestimmung von Gruppenzugehörigkeiten nutzen. WebSphere Application Server kann kann Gruppenzugehörigkeiten direkt oder indirekt lokalisieren. Außerdem können Sie das Produkt so konfigurieren, dass eine oder mehrere statische Gruppen, rekursive oder verschachtelte Gruppen und dynamische Gruppen nach bestimmten LDAP-Servern (Lightweight Directory Access Protocol) durchsucht werden.

Vorgehensweise

Ergebnisse

Bei Verwendung der direkten Methode können dynamische Gruppen, rekursive Gruppen und statische Gruppen in Form von mehreren Werten für ein einzelnes Attribut zurückgegeben werden. Beispielsweise können in IBM Directory Server alle Gruppenzugehörigkeiten, einschließlich der Zugehörigkeiten zu statischen, dynamischen und verschachtelte Gruppen, mit dem Attribut "ibm-allGroups" zurückgegeben werden. In Sun ONE werden alle Rollen, einschließlich der verwalteten, gefilterten und verschachtelten Rollen mit dem Attribut "nsRole" ermittelt. Falls ein LDAP-Server das Attribut "nsRole" verwenden kann, unterstützt WebSphere Application Server gleichermaßen dynamische, verschachtelte und statische Gruppen.

Von manchen LDAP-Servern wird die Funktionalität der rekursiven Suche nicht unterstützt. Beispielsweise verfügt der Microsoft Active Directory Server mit dem Attribut "memberOf" zwar über die Möglichkeit der direkten Gruppensuche, aber das Attribut "attribute" listet nur die Gruppen auf, in denen die Gruppe direkt verschachtelt ist, jedoch nicht die Liste der übergeordneten verschachtelten Gruppen. Der Lotus-Domino-LDAP-Server unterstützt nur die Verwendung der indirekten Methode zur Lokalisierung der Gruppenzugehörigkeit eines Benutzers. Sie können die Zugehörigkeit zu rekursiven Gruppen von einem Domino-Server nicht direkt abfragen. Für LDAP-Server, die die rekursive Suche nicht unterstützen, stellt die Sicherheitseinrichtung in WebSphere Application Server eine entsprechende Funktion bereit, die durch Anklicken der Option Verschachtelte Gruppen durchsuchen in den erweiterten LDAP-Einstellungen für die Benutzerregistry aktiviert wird. Wählen Sie diese Option nur dann aus, wenn der LDAP-Server keine rekursive Suchfunktion bereitstellt und eine rekursive Suche ausgeführt werden soll.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_directindirectldap
Dateiname:tsec_directindirectldap.html