Eigenständige LDAP-Registrys

Eine eigenständige LDAP-Registry (Lightweight Directory Access Protocol) führt die Authentifizierung mittels einer LDAP-Bindung aus.

Die Sicherheit von WebSphere Application Server bietet und unterstützt eine Implementierung der meisten bekannten LDAP-Verzeichnisserver, die als Repository für Benutzer- und Gruppeninformationen verwendet werden können. Diese LDAP-Server werden von den Produktprozessen aufgerufen, um Benutzer zu authentifizieren und andere sicherheitsbezogene Aufgaben auszuführen. Server werden beispielsweise verwendet, um Benutzer- oder Gruppeninformationen abzurufen. Diese Unterstützung erfolgt mithilfe verschiedener Benutzer- und Gruppenfilter, über die Benutzer- und Gruppeninformationen abgerufen werden. Diese Filter haben Standardwerte, die Sie an Ihre Anforderungen anpassen können. Die angepasste LDAP-Funktion ermöglicht außerdem die Verwendung eines anderen LDAP-Servers, der nicht auf der Liste der vom Produkt unterstützten LDAP-Server steht, als Benutzerregistry durch Einsatz des geeigneten Filters.

Anmerkung: Bei der Erstellung des Anfangsprofils wird die Option "Eingebundene Repositorys" mit der dateibasierten Registry als Sicherheitsregistryoption in WebSphere Application Server konfiguriert. Die Optionen in dieser Sicherheitsregistrykonfiguration können geändert werden. Es kann beispielsweise die eigenständige LDAP-Registry verwendet werden. Anstatt die Option "Eingebundene Repositorys" in der Konfiguration des Benutzeraccount-Repositorys jedoch in die Option "Eigenständige LDAP-Registry" zu ändern, sollten Sie die Verwendung der Option "Eingebundene Repositorys" in Erwägung ziehen, da diese Option die LDAP-Konfiguration unterstützt. Eingebundene Repositorys bieten ein breites Leistungsspektrum. Sie unterstützen beispielsweise die Verwendung einer oder mehrerer Benutzerregistrys. Außerdem unterstützen sie die Einbindung eines oder mehrerer LDAP-Verzeichnisse zusätzlich zu dateibasierten und angepassten Registrys. Eingebundene Repositorys bieten darüber hinaus verbesserte Failovermöglichkeiten und zuverlässige Funktionen für die Verwaltung von Membern (Benutzer und Gruppe). Eingebundene Repositorys sind erforderlich, wenn Sie die neuen Funktionen für die Verwaltung von Membern in WebSphere Portal Version 6.1 und höher und Process Server Version 6.1 und höher verwenden. Die Verwendung eingebundener Repositorys ist für die folgenden LDAP-Verweise erforderlich, die eine allgemeine Voraussetzung in einigen LDAP-Serverumgebungen (wie Microsoft Active Directory) sind.

Es wird empfohlen, eine Migration von eigenständigen LDAP-Registrys auf eingebundene Repositorys durchzuführen. Wenn Sie ein Upgrade auf WebSphere Portal 6.1 und/oder ein Upgrade auf WebSphere Process Server 6.1 und höher durchführen, müssen Sie die Migration auf eingebundene Repositorys vor diesen Upgrades durchführen. Weitere Informationen zu eingebundenen Repositorys und deren Leistungsspektrum finden Sie im Artikel "Eingebundene Repositorys". Weitere Informationen zur Migration auf eingebundene Repositorys finden Sie im Artikel "Eigenständiges LDAP-Repository auf eine LDAP-Repository-Konfiguration mit eingebundenen Repositorys migrieren".

Um LDAP als Benutzerregistry zu verwenden, müssen Sie den Namen eines Benutzers mit Verwaltungsaufgaben, den Serverhost und -Port, den Basis-DN und gegebenenfalls den BIND-DN und das BIND-Kennwort kennen. Sie können jeden gültigen Benutzer in der Registry auswählen, der gesucht werden kann und Verwaltungsberechtigungen hat. In einigen LDAP-Servern können Benutzer mit Verwaltungsaufgaben nicht gesucht und verwendet werden, z. B. cn=root in SecureWay. Dieser Benutzer wird in der Dokumentation als Sicherheitsserver-ID, Server-ID oder Serverbenutzer-ID von WebSphere Application Server bezeichnet. Ein Benutzer, der eine Server-ID ist, erhält Sonderberechtigungen beim Aufruf einiger geschützter interner Methoden. Normalerweise wird diese ID mit dem zugehörigen Kennwort verwendet, um sich nach Aktivierung der Sicherheit bei der Administrationskonsole anzumelden. Sie können für die Anmeldung auch andere Benutzer verwenden, sofern diese einer Administrationsrolle zugeordnet sind.

Bei aktivierter Produktsicherheit werden der Name des primären Benutzers mit Verwaltungsaufgaben und das Kennwort beim Starten des Produkts anhand der Registry authentifiziert. Scheitert die Authentifizierung, kann der Server nicht gestartet werden. Die ausgewählte ID und das zugehörige Kennwort sollten kein Verfallsdatum haben und nicht häufig geändert werden. Wenn die Benutzer-ID für den Produktserver oder das zugehörige Kennwort in der Registry geändert werden muss, stellen Sie sicher, dass alle Produktserver gestartet und aktiv sind, während die Änderung vorgenommen wird.

Sobald die Änderungen in der Registry vorgenommen werden, führen Sie die im Artikel LDAP-Benutzerregistrys konfigurieren beschriebenen Schritte aus. Ändern Sie die ID, das Kennwort und andere Konfigurationsdaten, und speichern Sie dann die Daten. Stoppen Sie alle Server, und starten Sie sie anschließend erneut, damit die neue ID oder das neue Kennwort vom Produkt verwendet wird. Sollten beim Starten des Produkts Fehler auftreten, wenn die Sicherheit aktiviert ist, inaktivieren Sie die Sicherheit, damit der Server gestartet werden kann. Sie können diesen Schritt vermeiden, wenn die Änderungen in der Anzeige "Globale Sicherheit" validiert werden. Sobald der Server gestartet ist, können Sie die ID, das Kennwort und andere Konfigurationsdaten ändern und dann die Sicherheit aktivieren.

Über eine angepasste LDAP-Funktion können Sie auch jeden beliebigen LDAP-Server verwenden, indem Sie die richtige Konfiguration einrichten. Allerdings sind diese angepassten LDAP-Server nicht in die Unterstützung eingeschlossen, weil es zu viele Konfigurationsvarianten gibt.

Anhand der Informationen zur Zuordnung von Benutzern und Gruppen zu Sicherheitsrollen trifft die konfigurierte Engine für Autorisierung Entscheidungen hinsichtlich der Zugriffssteuerung.

[z/OS]Falls Sie als aktive Registry eine LDAP-Registry konfigurieren, wird eines der folgenden Berechtigungsverfahren konfiguriert:
  • SAF-Berechtigung (System Authorization Facility) mit EJBROLE- oder GEJBROLE-Profilen. SAF setzt alle anderen Berechtigungsverfahren außer Kraft.
  • Tivoli Access Manager als JACC-Provider (Java™ Authorization Contract for Containers). Weitere Informationen hierzu finden Sie im Artikel Integration von Tivoli Access Manager als JACC-Provider.
  • Bindungen von Benutzern an Rollen, die vom Anwendungsassemblierer oder vom Sicherheitsadministrator von WebSphere Application Server erstellt werden.
[z/OS]Die SAF-Berechtigung, d. h. die Zuordnung von SAF-Benutzern und -Gruppen zu Rollen mit SAF-EJBROLE-Profilen, kann als Berechtigungsverfahren für alle Benutzerregistrys verwendet werden. Bei Auswahl der SAF-Berechtigung in der Administrationskonsole gilt Folgendes:
  • Alle anderen Berechtigungsoptionen werden außer Kraft gesetzt, z. B. Tivoli Access Manager.
  • Sie müssen ein Zuordnungsmodul für JAAS-Anmeldung (Java Authentication and Authorization Service) konfigurieren und installieren, das eine LDAP-Identität oder eine Identität einer angepassten Registry einer SAF-Benutzer-ID zuordnet. Weitere Informationen hierzu finden Sie im Artikel Eigenes SAF-Zuordnungsmodul für WebSphere Application Server installieren und konfigurieren.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
Dateiname:csec_ldap.html