Verwenden Sie diese Task, um Gruppendefinitionseinstellungen in einer Konfiguration eingebundener
Repositorys zu konfigurieren.
Vorgehensweise
- Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit.
- Wählen Sie unter "Repository für Benutzeraccounts" im Feld "Verfügbare Realmdefinitionen" die Option Eingebundene Repositorys aus und klicken Sie auf
Konfigurieren.
Wenn Sie eine bestimmte Domäne in einer Umgebung mit mehreren Sicherheitsdomänen konfigurieren möchten, klicken
Sie auf Sicherheitsdomänen > Domänenname. Erweitern
Sie unter "Sicherheitsattribute" den Eintrag "Benutzerrealm"
und klicken Sie auf Für diese Domäne anpassen. Wählen Sie den Realmtyp Eingebundene Repositorys aus, und klicken Sie dann auf Konfigurieren.
- Klicken Sie unter "Zugehörige Elemente" auf Repositorys verwalten.
- Klicken Sie auf Hinzufügen > LDAP-Repository, um ein neues externes Repository anzugeben, oder wählen Sie ein
bereits vorkonfiguriertes externes Repository aus.
Anmerkung: Wenn Sie auf Hinzufügen klicken, um ein neues externes Repository anzugeben, müssen Sie zuerst
die erforderlichen Felder ausfüllen und dann auf Anwenden klicken, bevor Sie mit dem nächsten Schritt fortfahren können.
- Klicken Sie unter "Weitere Eigenschaften" auf Definition von Gruppenattributen.
- Geben Sie den Namen des Attributs für die Gruppenzugehörigkeit im Feld "Name des Gruppenzugehörigkeitsattributs" ein. Für jedes LDAP-Repository kann nur ein einziges Zugehörigkeitsattribut definiert werden.
Jeder LDAP-Eintrag muss dieses Attribut haben, um die Gruppen anzuzeigen, zu denen er gehört. Beispielsweise ist memberOf der Name des Zugehörigkeitsattributs, das in Active Directory verwendet wird. Das Attribut für die Gruppenzugehörigkeit enthält
Werte, die auf die Gruppen verweisen, zu denen der Eintrag gehört. Wenn BenutzerA zur GruppeA gehört,
muss der Wert des Attributs memberOf von BenutzerA den definierten Namen von GruppeA enthalten.
Wenn Ihr LDAP-Server das Attribut für Gruppenzugehörigkeit nicht unterstützt, geben Sie dieses Attribut nicht an. Das LDAP-Repository kann Gruppen auch nach Gruppenmemberattributen suchen, obwohl die Leistung dieser Operation geringer sein kann.
- Wählen Sie den Geltungsbereich des Gruppenzugehörigkeitsattributs aus. Der Standardwert ist "Direkt".
- Direkt
- Das Zugehörigkeitsattribut enthält nur direkte Gruppen. Direkte Gruppen sind die Gruppen, die das Member enthalten. Wenn Gruppe1 beispielsweise Gruppe2 enthält und Gruppe2
Benutzer1 enthält, dann ist Gruppe2 eine direkte Gruppe von Benutzer1, aber Gruppe1 nicht.
- Verschachtelt
- Das Zugehörigkeitsattribut enthält direkte und verschachtelte Gruppen.
- Alle
- Das Zugehörigkeitsattribut enthält direkte Gruppen, verschachtelte Gruppen und dynamische Member.
Ergebnisse
Nachdem Sie diese Schritte ausgeführt haben, sind die Einstellungen für die Gruppenattributdefinition
für Ihr LDAP-Repository konfiguriert.
Nächste Schritte
- Klicken Sie nach der Konfiguration der eingebundenen Repositorys auf Sicherheit > Globale Sicherheit, um zur Anzeige "Globale Sicherheit" zurückzukehren. Vergewissern Sie sich,
dass "Eingebundene Repositorys" im Feld "Aktuelle Realmdefinition" angegeben ist.
Wenn "Eingebundene Repositorys" nicht angegeben ist, wählen Sie
Eingebundene Repositorys im Feld "Verfügbare Realmdefinitionen" aus, und klicken Sie dann auf
Als aktuelles Repository festlegen. Klicken Sie zum Überprüfen der Konfiguration für eingebundene Repositorys in der Anzeige "Globale Sicherheit"
auf Anwenden. Wenn "Eingebundene Repositorys" nicht im Feld "Aktuelle Realmdefinition"
angegeben ist, wird Ihre Konfiguration für das eingebundene Repository nicht von WebSphere Application
Server verwendet.
- Wenn Sie die Sicherheit aktivieren, führen Sie die verbleibenden Schritte, wie im Artikel Sicherheit für den Realm aktivieren beschrieben,
aus. Validieren Sie im letzten Schritt diese Konfiguration, indem Sie in der Anzeige "Globale Sicherheit"
auf Anwenden klicken.
- Die in dieser Anzeige vorgenommenen Änderungen werden erst wirksam, wenn Sie alle Produktserver (Deployment Manager,
Knoten und Anwendungsserver) speichern, stoppen und erneut starten. Falls der Server fehlerfrei aktiviert werden kann,
ist die Konfiguration in Ordnung.