Bestimmte Verzeichnisserver als LDAP-Server verwenden
Dieser Artikel enthält wichtige Informationen zu den Verzeichnisservern, die als LDAP-Server in WebSphere Application Server unterstützt werden.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Es wird erwartet, dass andere LDAP-Server der LDAP-Spezifikation folgen. Die Unterstützung ist auf diese spezifischen Verzeichnisserver beschränkt. Wenn Sie einen anderen Verzeichnisserver verwenden möchten, wählen Sie in der Liste den Verzeichnistyp "Angepasst" aus, und geben Sie dann die Filter an, die für dieses Verzeichnis erforderlich sind.
Zur Verbesserung der Leistung bei LDAP-Suchen wurden die Standardfilter für IBM Tivoli Directory Server, Sun ONE und Active Directory so definiert, dass die Ergebnisse der Suche nach einem Benutzer alle relevanten Informationen über den Benutzer enthalten (Benutzer-ID, Gruppen usw.). Deshalb setzt das Produkt auch nicht mehrere Aufrufe an den LDAP-Server ab. Diese Definition ist nur in den Verzeichnistypen möglich, die Suchoperationen unterstützen, in denen vollständige Benutzerdaten abgerufen werden.
Wenn Sie IBM Directory Server verwenden, wählen Sie die Option Groß-/Kleinschreibung für Berechtigung ignorieren aus. Wenn Gruppeninformationen aus den Attributen für Benutzerobjekte entnommen werden, ist die Groß-/Kleinschreibung nämlich nicht dieselbe wie beim direkten Abrufen der Gruppeninformationen. Damit die Berechtigung in diesem Fall funktioniert, führen Sie eine Überprüfung ohne Berücksichtigung der Groß-/Kleinschreibung durch, und überprüfen Sie die Anforderungen für die Option Ignore case for authorization.
Der LDAP Security Server für die Plattform z/OS wird unterstützt, wenn das Back-End
DB2 Technical Database Management (TDBM) verwendet wird. Verwenden Sie die Filter von
SecureWay Directory Server, um die Verbindung zum LDAP Security Server
für die Plattform z/OS herzustellen.
Directory Services als LDAP-Server verwenden
Die Unterstützung für Gruppen, die andere Gruppen oder verschachtelte Gruppen enthalten, richtet sich nach der jeweiligen Version von WebSphere Application Server und LDAP. Weitere Informationen finden Sie im Artikel Unterstützung dynamischer und verschachtelter Gruppen für LDAP.
- IBM Tivoli Directory Server als LDAP-Server verwenden
Wenn Sie IBM Tivoli Directory Server (früher IBM Directory Server) verwenden möchten, wählen Sie IBM Tivoli Directory Server als Verzeichnistyp aus.
Sie können für IBM Directory Server den Verzeichnistyp IBM Tivoli Directory Server oder SecureWay auswählen.
Die beiden Verzeichnistypen unterscheiden sich in der Art, wie die Gruppenzugehörigkeit ermittelt wird. Es wird empfohlen, IBM Tivoli Directory Server auszuwählen, weil mit diesem Verzeichnisserver zur Laufzeit die beste Leistung erzielt wird. In IBM Tivoli Directory Server ist die Gruppenzugehörigkeit ein Betriebsattribut. Mit diesem Attribut wird die Gruppenzugehörigkeit durch Auflistung des Attributs "ibm-allGroups" für den Eintrag ermittelt. Es können alle Gruppenzugehörigkeiten, einschließlich der Zugehörigkeiten zu statischen, dynamischen und verschachtelten Gruppen, mit dem Attribut ibm-allGroups zurückgegeben werden.
WebSphere Application Server unterstützt dynamische Gruppen, verschachtelte Gruppen und statische Gruppen in IBM® Tivoli Directory Server mit dem Attribut ibm-allGroups. Zur Verwendung dieses Attributs in einer Anwendung für Sicherheitsberechtigungen müssen Sie einen Abgleich ohne Berücksichtigung der Groß-/Kleinschreibung durchführen, damit ibm-allGroups alle Werte in Großbuchstaben zurückgibt.
Wichtig: Es wird empfohlen, IBM Tivoli Directory Server Version 6.0 nicht auf derselben Maschine zu installieren wie Version 9.0. Sie können Version 9.0 nicht als Administrationskonsole für IBM Tivoli Directory Server verwenden. Wenn IBM Tivoli Directory Server Version 6.0 und Version 9.0 auf derselben Maschine installiert werden, können Portkonflikte auftreten.Wenn Sie IBM Tivoli Directory Server Version 6.0 und Version 9.0 auf derselben Maschine installieren müssen, beachten Sie die folgenden Informationen:
- Bei der Installation von IBM Tivoli Directory Server müssen Sie das Web Administration Tool Version 5.1.1 auswählen.
- Installieren Sie Version 9.0.
- Wenn Sie Version 9.0 installieren, ändern Sie die Portnummer für den Anwendungsserver.
- Möglicherweise müssen Sie die Umgebungsvariablen von WebSphere Application Server in Version 9.0 für WAS_HOME und WAS_INSTALL_ROOT (bzw. APP_SERVER_ROOT für IBM i) anpassen. Klicken Sie zum Ändern der Variablen in der Administrationskonsole auf Umgebung > WebSphere-Variablen.
- Verwendung von Lotus Domino Enterprise Server als
LDAP-ServerWenn Sie Lotus Domino Enterprise Server Version 6.5.4 oder Version 7.0 auswählen und das Attribut "Kurzname" im Schema nicht definiert ist, können Sie eine der folgenden Aktionen ausführen:
- Dem Schema das Attribut "Kurzname" hinzufügen.
- Im Zuordnungsfilter für Benutzer-IDs den Kurznamen durch ein anderes definiertes Attribut (vorzugsweise die UID) ersetzen. Beispiel: Ändern Sie Person:Kurzname in Person:UID.
Der Zuordnungsfilter für Benutzer-IDs wurde geändert, damit anstelle des Attributs "Kurzname" das Attribut "UID" verwendet wird, weil die aktuelle Version von Lotus Domino standardmäßig kein Attribut "Kurzname" erstellt. Wenn Sie das Attribut "Kurzname" verwenden möchten, definieren Sie das Attribut im Schema und ändern Sie den Zuordnungsfilter für Benutzer-IDs.User ID Map: Person:Kurzname
- Sun ONE Directory Server als LDAP-Server verwendenSie können Sun ONE Directory Server als Verzeichnisserver auswählen. In Sun ONE Directory Server ist die Objektklasse für das Erstellen einer Gruppe standardmäßig groupOfUniqueName. Zur Leistungsverbesserung verwendet WebSphere Application Server das Benutzerobjekt, um die Gruppenzugehörigkeit des Benutzers aus dem Attribut "nsRole" zu ermitteln. Erstellen Sie die Gruppe aus der Rolle. Wenn Sie groupOfUniqueName zum Suchen von Gruppen verwenden möchten, geben Sie Ihre eigenen Filtereinstellungen an. Rollen vereinheitlichen Einträge. Rollen zeichnen sich durch eine effiziente und einfache Nutzung in Anwendungen aus. Eine Anwendung kann beispielsweise die Rolle eines Eintrags ermitteln, indem sie alle Rollen eines bestimmten Eintrags auflistet, anstatt eine Gruppe auszuwählen und die Member-Liste zu durchsuchen. Bei der Verwendung von Rollen können Sie eine Gruppe mit einer der folgenden Rollen erstellen:
- verwaltete Rolle
- gefilterte Rolle
- verschachtelte Rolle
- Microsoft Active Directory Server als LDAP-Server verwenden
Wenn Sie Microsoft Active Directory als LDAP-Server für die Authentifizierung bei WebSphere Application Server verwenden möchten, müssen Sie spezielle Schritte ausführen. Standardmäßig lässt Microsoft Active Directory keine anonymen LDAP-Abfragen zu. Zum Erstellen von LDAP-Abfragen oder zum Durchsuchen des Verzeichnisses, muss ein LDAP-Client über den definierten Namen (DN) eines Accounts, der berechtigt ist, die von Application Server benötigten Werte von LDAP-Attributen, wie z. B. Benutzer- und Gruppeninformationen, zu suchen und zu lesen, eine Bindung zum LDAP-Server herstellen. Gruppenzugehörigkeiten werden in Active Directory durch die Auflistung des Attributs memberof für einen bestimmten Benutzereintrag und nicht durch das Durchsuchen der Member-Liste in jeder Gruppe ermittelt. Wenn Sie dieses Standardverhalten ändern möchten, um jede Gruppe zu durchsuchen, können Sie den Wert des Feldes Zuordnung von Gruppenmember-IDs von memberof:member in group:member ändern.
Die folgenden Schritte beschreiben, wie Sie Microsoft Active Directory als LDAP-Server einrichten.