[IBM i]

Enterprise Identity Mapping konfigurieren

Konfigurieren Sie EIM (Enterprise Identity Mapping) im iSeries Navigator für die Verwendung mit der Verbindungsfactory für Identitätstoken.

Vorbereitende Schritte

Für die folgenden Schritte wird vorausgesetzt, dass Ihr EIM-Controller, d. h. Ihr LDAP-Verzeichnisserver, Ihr lokaler Verzeichnisserver ist und sich auf einem iSeries-Server befindet, der für EIM konfiguriert werden soll. Ausführliche Informationen zu EIM finden Sie im Artikel Enterprise Identity Mapping.

Für die Ausführung dieser Task benötigen Sie den DN (definierten Namen) und das Kennwort des LDAP-Serveradministrators.

Tipp: Ein Server kann immer nur zu jeweils einer EIM-Domäne gehören. Falls Ihr Server bereits in eine EIM-Domäne aufgenommen und die Domäne zur Domänenverwaltung hinzugefügt wurde, verwenden Sie diese Domäne und fahren Sie mit dem Schritt Definition für eine Quellenbenutzerregistry in EIM erstellen fort.

Vorgehensweise

  1. Für die Verbindungsfactory für Identitätstoken ist es erforderlich, dass Sie eine EIM-Domäne konfigurieren.
    Erstellen Sie wie folgt eine Domäne in EIM:
    Anmerkung: Die Reihenfolge dieser Schritte kann sich je nach Installation und Konfiguration der Maschine leicht abweichen. Vorausgesetzt wird, dass LDAP bereits konfiguriert ist, der Network Authentication Service jedoch noch nicht.
    1. Stellen Sie sicher, dass der LDAP-Server gestartet ist. Sie können den DN (definierten Namen) und das Kennwort des LDAP-Serveradministrators bestätigen. Beachten Sie, dass der Assistent den LDAP-Server später stoppt.
    2. Klicken Sie in iSeries Navigator auf Servername > Network > Enterprise Identity Mapping. Servername steht für den Namen Ihres iSeries-Servers.
    3. Klicken Sie auf Enterprise Identity Mapping.
    4. Klicken Sie mit der rechten Maustaste auf Configuration, und wählen Sie Configure aus, um den EIM-Konfigurationsassistenten zu starten.
      Anmerkung: Falls EIM schon einmal auf dem System konfiguriert wurde, hat die Menüoption die Bezeichnung Reconfigure.
    5. Wählen Sie auf der Begrüßungsseite des Assistenten Create and join a new domain aus.
    6. Klicken Sie auf Next.
    7. Wählen Sie auf der Seite "Specify EIM Domain Location" On the local Directory server aus, und klicken Sie auf Next.
    8. Falls der Network Authentication Service nicht auf dem System konfiguriert wurde, um eine SSO-Umgebung einzurichten, wird die Seite "Configure Network Authentication Service" angezeigt. Der Network Authentication Service ist für die Verbindungsfactory für EIM-Identitätstoken nicht erforderlich. Wählen Sie No aus, und klicken Sie auf Next.
    9. Geben Sie auf der Seite "Specify User for Connection" den definierten Namen und das Kennwort des LDAP-Administrators ein, um sicherzustellen, dass der Assistent berechtigt ist, die EIM-Domäne und die darin enthaltenen Objekte zu verwalten. Klicken Sie auf Next.
      Anmerkung: Falls Sie vor Ausführung des EIM-Konfigurationsassistenten noch nicht den lokalen Verzeichnisserver konfiguriert haben, wird stattdessen die Seite "Configure Directory Server" angezeigt. Geben Sie auf dieser Seite den definierten Namen und das Kennwort des LDAP-Administrators ein. Fahren Sie dann mit dem nächstfolgenden Schritt fort. Mit dem LDAP-DN identifiziert der Verzeichnisserver den LDAP-Administrator. Der EIM-Konfigurationsassistent erstellt diesen LDAP-Administrator-DN und verwendet ihn, um den Verzeichnisserver als Domänencontroller für die Domäne zu konfigurieren, die Sie neu erstellen.
    10. Geben Sie auf der Seite "Specify Domain" den Namen der EIM-Domäne an, und klicken Sie auf Next.
    11. Wählen Sie auf der Seite "Specify Parent DN for Domain" Yes aus, um einen übergeordneten DN für die zu erstellende Domäne anzugeben. Wählen Sie No aus, wenn die EIM-Daten an einer Verzeichnisposition mit einem Suffix gespeichert werden soll, deren Name vom EIM-Domänennamen abgeleitet wird. Klicken Sie auf Next.
    12. Es erscheint eine Nachricht, dass der LDAP-Server gestoppt werden muss. Klicken Sie zum Fortfahren auf Yes.
    13. Wählen Sie auf der Seite "Registry Information" die Option Local OS/400 aus, und klicken Sie auf Next.
    14. Wählen Sie auf der Seite "Specify EIM System User" als Benutzertyp Distinguished name and password aus, geben Sie den DN und das Kennwort des Verzeichnisserveradministrators an, und bestätigen Sie bei Bedarf den DN und das Kennwort. Klicken Sie auf Next.
    15. Überprüfen Sie die Konfigurationsdaten, die in der Anzeige "Summary" bereitgestellt werden. Falls alle Informationen korrekt sind, klicken Sie auf Finish.
  2. Fügen Sie die Domäne wie folgt zur Domänenverwaltung hinzu:
    1. Klicken Sie in iSeries Navigator auf Systemname> Network > Enterprise Identity Mapping > Domain Management.
    2. Klicken Sie mit der rechten Maustaste auf Domain Management, und wählen Sie Add Domain aus.
    3. Geben Sie im Dialog "Add Domain" die Domäne an, die Sie zuvor erstellt haben, und klicken Sie auf OK.
  3. Erstellen Sie eine Definition für eine Quellenbenutzerregistry in EIM.

    Für die Verbindungsfactory für Identitätstoken ist es erforderlich, dass es in EIM einen Definitionseintrag für eine Quellenbenutzerregistry gibt. Die Definition für die Quellenbenutzerregistry repräsentiert die Registry, die WebSphere Application Server für die Authentifizierung verwendet. Dabei kann es sich um die Registry eines lokalen Betriebssystems oder eine LDAP-Registry handeln.

    1. Klicken Sie in iSeries Navigator auf Systemname > Network > Enterprise Identity Mapping > Domain Management > Domänenname> User Registries.
    2. Wenn Sie zur Eingabe des LDAP-Serverkennworts aufgefordert werden, geben Sie das Kennwort ein, und klicken Sie auf OK.
    3. Klicken Sie mit der rechten Maustaste auf User Registries, wählen Sie Add Registry > System aus, um den Konfigurationsassistenten zu starten, mit dem Sie die Registry Ihrer Domäne hinzufügen können.

      Geben Sie Namen und Typ der Registry an. Falls sich Ihr Anwendungsserver auf einem iSeries-Server befindet und so konfiguriert ist, dass die Benutzerregistry des lokalen Betriebssystems verwendet wird, wählen Sie als Typ der EIM-Benutzerregistry OS/400 aus. Wenn in Ihrem Anwendungsserver die Verwendung der LDAP-Benutzerregistry konfiguriert ist, geben Sie LDAP - short name als EIM-Registry-Typ ein.

      Anmerkung: Für Versionen vor IBM i V5R4 verwenden Sie anstelle von LDAP - short name die Angabe 1.3.18.02.33.14-caseIgnore. Die Angabe 1.3.18.02.33.14-caseIgnore ist die OID-normalisierte (ObjectIdentifier) Form des Benutzerregistry-Typs, und die Principals werden vom LDAP-Attribut "short-name" angegeben. Der Assistent kann den beschreibenden Namen dieses Registry-Typs nicht bearbeiten.
    4. Klicken Sie auf OK.
  4. Erstellen Sie eine Benutzer-ID in EIM.

    Die Verbindungsfactory für Identitätstoken erfordert einen Benutzer-ID-Eintrag, der äquivalent zu einer EIM-Kennung ist. In EIM stellt der Benutzer-ID-Eintrag den Benutzer der Anwendung dar.

    1. Klicken Sie in iSeries Navigator auf System > Network > Enterprise Identity Mapping > Domain Management > Domäne > Identifiers.
    2. Klicken Sie mit der rechten Maustaste auf Identifiers, und wählen Sie New Identifier aus.
    3. Geben Sie einen Kennungsnamen ein, z. B. Ihren vollständigen Namen, und klicken Sie auf OK.
  5. Erstellen Sie in EIM eine Zielzuordnung für die Benutzer-ID.

    Eine Zielzuordnung repräsentiert das Benutzerprofil auf dem Ziel-iSeries-Server für die zuvor erstellte ID.

    1. Klicken Sie in iSeries Navigator auf System > Network > Enterprise Identity Mapping > Domain Management > Domäne > Identifiers.
    2. Klicken Sie doppelt auf den Application Identifier für den zuvor erstellten Benutzer.
    3. Klicken Sie auf das Register Associations.
    4. Klicken Sie auf Add.
    5. Geben Sie im Feld "User" das IBM i-Benutzerprofil für die EIM-Kennung an, und klicken Sie auf OK.
    6. Klicken Sie auf OK, um die Zuordnung zu speichern.
  6. Erstellen Sie in EIM eine Quellenzuordnung für die Benutzer-ID.

    Eine Quellenzuordnung wird für die Authentifizierung gegenüber WebSphere Application Server verwendet.

    1. Klicken Sie in iSeries Navigator auf System > Network > Enterprise Identity Mapping > Domain Management > Domäne > Identifiers.
    2. Klicken Sie doppelt auf den Application Identifier für den zuvor erstellten Benutzer.
    3. Klicken Sie auf das Register Associations.
    4. Klicken Sie auf Add.
    5. Klicken Sie auf Browse, und wählen Sie die Benutzerregistry von WebSphere Application Server aus.
    6. Geben Sie Ihre WebSphere Application Server-Benutzer-ID an, z. B. meine_ID.
    7. Wählen Sie Source aus.
    8. Klicken Sie auf OK, um die neue Zuordnung hinzuzufügen.
    9. Klicken Sie auf OK, um die Zuordnung zu speichern.
  7. Optional: Testen Sie die Verbindung zum EIM-Domänencontroller.

    Verwenden Sie den Befehl idsldapsearch, um die Verbindung zum EIM-Domänencontroller zu testen. Wenn sich der LDAP-Server beispielsweise auf dem Host mein_Server befindet, der EIM-Domänenname Meine_EIM-Domäne lautet und die Quellenbenutzerregistry WAS Registry ist, können Sie die Verbindung wie folgt testen:

    1. Melden Sie sich auf dem iSeries-Server an, auf dem sich Ihr WebSphere Application Server-Profil befindet.
    2. Geben Sie in einer CL-Befehlszeile QSH an und drücken Sie die Eingabetaste.
    3. Geben Sie den folgenden Befehl an und drücken Sie die Eingabetaste:
      idsldapsearch -h mein_Server -p 389 -D cn=administrator
      -w secret -b "ibm-eimDomainName=Meine_EIM-Domäne"
      "ibm-eimRegistryName=WAS_Registry"
      Für diese Angaben gilt Folgendes:
      • mein_Server ist der Name des Hostservers für den LDAP-Server.
      • 389 ist der vom LDAP-Server verwendete Port.
      • cn=administrator ist der LDAP-DN des LDAP-Administrators.
      • secret ist das Kennwort des LDAP-Administrators.
      • ibm-eimDomainName=Meine_EIM-Domäne ist der LDAP-DN für den EIM-Domänennamenseintrag.

      Der vorherige Befehl wurde nur zur besseren Lesbarkeit auf mehrere Zeilen aufgeteilt. Geben Sie den Befehl in nur einer Zeile ein.

      In diesem Beispiel gibt es keinen übergeordneten Namen für die EIM-Domäne. Falls es eine übergeordneten Namen für die EIM-Domäne wie dc=meinserver,dc=ibm,dc=com gibt, lautet der LDAP-DN ibm-eimDomainName=Meine_EIM-Domäne,dc=meinserver,dc=ibm,dc=com.

Ergebnisse

Die erwartete Ausgabe sieht in etwa wie die folgende Beispielausgabe aus:

ibm-eimRegistryName=WAS Registry,cn=Registries,ibm-eimdomainname=Meine_EIM-Domäne
   objectclass=top
   objectclass=ibm-eimRegistry
   objectclass=ibm-eimSystemRegistry
   ibm-eimRegistryName=WAS_Registry
   ibm-eimRegistryType=1.3.18.0.2.33.9-caseIgnore
   description=Beispielregistry für WebSphere Application Server

Nächste Schritte

Konfigurieren Sie die Verbindungsfactory für EIM-Identitätstoken. Weitere Informationen hierzu finden Sie im Artikel Verbindungsfactory für EIM-Identitätstoken konfigurieren.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_idtokenconfigeim
Dateiname:tsec_idtokenconfigeim.html