Die LDAP-Benutzerregistry können Sie mit jedem von WebSphere Application Server unterstützten Authentifizierungsverfahren verwenden. Deshalb
müssen Sie dem LDAP-Verzeichnis die Benutzer hinzufügen, denen Sie die Berechtigung für den Zugriff auf
Application-Server-Ressourcen erteilen möchten.
Informationen zu diesem Vorgang
Die Informationen in diesem Artikel gelten für das Produkt iSeries Directory Services.
Für das Hinzufügen von Benutzern sind eine Vielzahl von Methoden verfügbar. Der einfachste Weg ist jedoch das Erstellen einer LDIF-Datei
(LDAP Data Interchange Format). Die Datei enthält die Gruppe der Benutzer, die zum Verzeichnis hinzugefügt werden sollen. Die Datei wird von den
LDAP-Dienstprogrammen wie idsldapmodify verwendet.
Sie können diese Dienstprogramme vom Betriebssystem aus oder von einer Workstation ausführen. Bei Ausführung vom Betriebssystem aus muss Ihre
LDIF-Datei im integrierten Dateisystem enthalten sein.
Führen Sie die folgenden Schritte aus, um Benutzer zur LDAP-Benutzerregistry hinzuzufügen:
Vorgehensweise
- Erstellen Sie eine LDIF-Datei, und speichern Sie sie im integrierten Dateisystem. Verwenden Sie zum Erstellen der Datei das Dienstprogramm EDTF (Edit File) oder den Texteditor Ihrer Workstation. Speichern Sie die Datei durch Zuordnung eines Laufwerks oder per FTP im integrierten
Dateisystem.
Für WebSphere
Application Server und LDAP Directory Services müssen Sie im Verzeichnis Einträge erstellen, die der ePerson-Schemadefinition entsprechen.
Das folgende Beispiel zeigt einen einfachen ePerson-LDIF-Eintrag:
dn: cn=John Doe, ou=Rochester, o=IBM, c=US
objectclass: person
objectclass: inetOrgPerson
objectclass: top
objectclass: organizationalPerson
objectclass: ePerson
cn: John Doe
sn: Doe
uid: jdoe
userpassword: secretpass
Dieser LDIF-Eintrag definiert eine ePerson für den Benutzer
John Doe. Die Benutzer-ID (uid) für John wird auf jdoe und das Kennwort auf
secretpass gesetzt.
Dieser Eintrag gehört zur Organisationseinheit Rochester, die Teil des Unternehmens IBM in den Vereinigten Staaten ist. Die übergeordneten Einträge ou, o und
c werden festgelegt, bevor dieser ePerson-Eintrag definiert wird. Sie können in derselben Datei eine Reihe von LDIF-Einträgen festlegen, um LTPA-Benutzer für WebSphere Application Server
zu definieren.
Wenn Sie keinen Wert für das Attribut "userpassword" angeben, versucht der LDAP-Server, LTPA-Benutzer mit dem Benutzerprofil für das lokale Betriebssystem
zu authentifizieren, das mit dem Attribut "uid" angegeben wurde. Dies kann wünschenswert sein, wenn die Benutzer Profile für das Betriebssystem haben und nicht verschiedene Kennwörter für die Benutzerregistry des Betriebssystems und das LDAP-Verzeichnis
verwalten möchten.
Wenn Sie einen ePerson-Eintrag erstellen, vergewissern Sie sich, dass der Wert der Attribute
cn und uid eindeutig ist. Erstellen Sie keine Einträge mit identischen Werten für die Attribute cn und uid.
Wichtig: Falls Ihre Benutzerregistry groß ist, kann die Leistung bei der Anmeldung beeinträchtigt werden, wenn
die Eigenschaft "Zuordnung von Gruppenmember-IDs" auf einen der Standardwerte
groupOfNames:member oder groupOfUniqueNames:uniqueMember gesetzt ist.
Geben Sie eine dieser Objektklassen (nicht beide) an, um dieses Leistungsproblem
zu lösen. Anschließend dürfen Sie für die Implementierung von Gruppen in der Benutzerregistry nur noch die ausgewählte Objektklasse verwenden.
- Importieren Sie die Einträge der LDIF-Datei in Ihr Verzeichnis auf dem Server. Verwenden Sie das LDAP-Dienstprogramm ldapadd im Qshell-Interpreter (QSH), oder führen Sie diesen Schritt an einer Workstation aus.
Nächste Schritte
Weitere Informationen zum Importieren von LDIF-Einträgen finden Sie in der Dokumentation zu Directory
Services im Information Centers von IBM® i 6.1 und 7.1.