LDAP-Benutzerregistrys konfigurieren

Wenn Sie über Lightweight Directory Access Protocol (LDAP) auf eine Benutzerregistry zugreifen möchten, müssen Sie einen gültigen Benutzernamen (ID) und ein Kennwort, den Serverhost und Port des Registry-Servers, den Basis-DN und gegebenenfalls den Bind-DN und das Bind-Kennwort kennen. Sie können jeden gültigen Benutzer in der Registry auswählen, der gesucht werden kann. Sie können für die Anmeldung jede Benutzer-ID verwenden, die einer Verwaltungsrolle zugeordnet ist.

Vorbereitende Schritte

Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log, trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.

Es gibt zwei verschiedene Identitäten, die für Sicherheitszwecke verwendet werden: die Benutzer-ID für Verwaltungsfunktionen und die Serveridentität. Wenn die Verwaltungssicherheit aktiviert ist, werden die Benutzer-ID und das Kennwort für Verwaltungsfunktionen über die Registry authentifiziert. Schlägt die Authentifizierung fehl, wird der Zugriff auf die Administrationskonsole nicht erteilt, oder Tasks mit wsadmin-Scripts werden nicht ausgeführt. Die ausgewählte ID und das zugehörige Kennwort sollten kein Verfallsdatum haben und nicht häufig geändert werden. Wenn diese Benutzer-ID und das zugehörige Kennwort in der Registry geändert werden müssen, stellen Sie sicher, dass die Änderungen vorgenommen werden, wenn alle Anwendungsserver aktiv sind. Wenn Sie Änderungen in der Registry vornehmen müssen, lesen Sie vor Ausführung dieser Task den Artikel Eigenständige LDAP-Registrys.

Die Serveridentität wird für die interne Prozesskommunikation verwendet. Im Rahmen dieser Task können Sie die Serveridentität von der automatisch generierten Standard-ID in eine Server-ID und ein Kennwort aus dem LDAP-Repository ändern.

Vorgehensweise

  1. Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen. Wählen Sie Eigenständige LDAP-Registry aus und klicken Sie auf Konfigurieren.
  3. Geben Sie im Feld Name des primären Benutzers mit Verwaltungsaufgaben einen gültigen Benutzernamen ein. Gewöhnlich ist der Benutzername der Kurzname des Benutzers und wird mit dem Benutzerfilter in der Anzeige "Erweiterte LDAP-Einstellungen" definiert.
  4. Bestimmen Sie, ob die Benutzer-ID angegeben werden soll, die für die interne Prozesskommunikation verwendet wird. Zellen, die Knoten der Version 5.1 oder 6.x enthalten, erfordern eine Serverbenutzer-ID, die im aktiven Benutzerrepository definiert ist. Die Option Automatisch generierte Serveridentität ist standardmäßig ausgewählt, damit der Anwendungsserver die Serveridentität generiert. Sie können jedoch die Option Im Repository gespeicherte Serveridentität auswählen, um die Serveridentität und das zugehörige Kennwort anzugeben.
  5. Wählen Sie in der Liste Typ den Typ des zu verwendenden LDAP-Servers aus. Der LDAP-Servertyp bestimmt die Standardfilter, die von WebSphere Application Server verwendet werden. Wenn diese Standardfilter geändert werden, wird der Wert im Feld Typ auf Angepasst gesetzt, um anzuzeigen, dass eigene Filter verwendet werden. Klicken Sie in der Anzeige "Erweiterte LDAP-Einstellungen" auf OK oder Anwenden. Wenn Sie andere LDAP-Server verwenden möchten, wählen Sie bei Bedarf in der Liste den Typ Angepasst aus und ändern Sie die Benutzer- und Gruppenfilter.

    Benutzer von IBM Tivoli Directory Server können IBM Tivoli Directory Server als Verzeichnistyp auswählen. Verwenden Sie den Verzeichnistyp IBM Tivoli Directory Server, um eine bessere Leistung zu erzielen.

    Achtung: IBM SecureWay Directory Server wurde in WebSphere Application Server Version 6.1 in IBM Tivoli Directory Server umbenannt.
  6. Geben Sie im Feld Host den vollständig qualifizierten Hostnamen des LDAP-Servers ein. Sie können entweder die IP-Adresse oder den DNS-Namen (Domain Name System) eingeben.
  7. Geben Sie im Feld Port die Portnummer für den LDAP-Server ein. Der Hostname und die Portnummer repräsentieren den Realm dieses LDAP-Servers in der WebSphere Application Server-Zelle. Wenn Server in anderen Zellen über LTPA-Token (Lightweight miteinander kommunizieren, müssen diese Realms in allen Zellen exakt übereinstimmen.

    Der Standardwert ist 389. Wenn mehrere WebSphere Application Server installiert und für die Ausführung in derselben SSO-Domäne konfiguriert sind oder wenn WebSphere Application Server mit einer älteren Version des WebSphere Application Server interagiert, muss die Portnummer in allen Konfigurationen identisch sein. Wenn der LDAP-Port in einer Konfiguration der Version 5.x beispielsweise explizit mit 389 definiert ist und ein WebSphere Application Server der Version 6.0.x mit dem Server der Version 5.x interagieren soll, müssen Sie sicherstellen, dass Port 389 explizit für den Server der Version 6.0.x angegeben ist.

    Sie können die angepasste Eigenschaft "com.ibm.websphere.security.ldap.logicRealm" setzen, um den Wert für den Realmnamen zu ändern, der in das Token eingefügt wird. Weitere Informationen finden Sie im Artikel zu den angepassten Eigenschaften für die Sicherheit.

  8. Geben Sie im Feld Basis-DN den Basis-DN ein. Der Basis-DN ist der Ausgangspunkt für Suchoperationen in diesem LDAP-Verzeichnisserver. Für einen Benutzer mit dem DN cn=John Doe, ou=Rochester, o=IBM, c=US kann der definierte Basisname wie folgt angegeben werden, wenn der Suffix c=us verwendet wird:
    • ou=Rochester, o=IBM, c=us
    • o=IBM, c=us
    • c=us
    Bei den Werten in diesem Feld wird für die Berechtigung zwischen Groß- und Kleinschreibung unterschieden. Sie muss mit dem im Verzeichnisserver übereinstimmen. Wenn beispielsweise ein Token von einer anderen Zelle oder von Domino empfangen wird, muss also der Basis-DN des Servers exakt mit dem Basis-DN der anderen Zelle oder von Domino übereinstimmen. Falls die Unterscheidung von Groß-/Kleinschreibung bei der Berechtigung unerwünscht ist, können Sie die Option Groß-/Kleinschreibung ignorieren aktivieren.

    In WebSphere Application Server wird der definierte Name (DN) gemäß der LDAP-Spezifikation (Lightweight Directory Access Protocol) normalisiert. Die Normalisierung besteht in dem Entfernen von Leerzeichen aus dem Basis-DN vor und hinter Kommata und Gleichheitszeichen. Beispiel für einen nicht normalisierten Basis-DN: o = ibm, c = us oder o=ibm, c=us. Beispiel für einen normalisierten Basis-DN: o=ibm,c=us.

    Für die Interaktion zwischen WebSphere Application Server Version 6.0 und höheren Versionen müssen Sie im Feld Basis-DN einen normalisierten Basis-DN eingeben. In WebSphere Application Server Version 6.0 und höher wird die Normalisierung automatisch zur Laufzeit durchgeführt.

    Dieses Feld ist für alle LDAP-Verzeichnisse außer Lotus Domino Directory erforderlich. Beim Domino-Server ist das Feld Basis-DN optional.

  9. Optional: Geben Sie im Feld BIND-DN den definierten Namen für die Bindung ein. Der Bind-DN muss angegeben werden, wenn Benutzer- und Gruppeninformationen vom LDAP-Server nicht mit anonymen Bind-Operationen abgerufen werden können. Sollte der LDAP-Server für anonyme Bind-Operationen konfiguriert sein, lassen Sie dieses Feld leer. Falls keine Name angegeben wird, stellt der Anwendungsserver die Bindung anonym her. In der Beschreibung des Feldes Basis-DN finden Sie Beispiele für definierte Namen.
  10. Optional: Geben Sie im Feld BIND-Kennwort das Kennwort für den Bind-DN ein.
  11. Optional: Ändern Sie bei Bedarf das Suchzeitlimit. Hat der LDAP-Server nach Ablauf dieser Zeit noch keine Antwort an den Produktclient gesendet, wird die Anforderung gestoppt. Die Standardeinstellung ist 120 Sekunden.
  12. Vergewissern Sie sich, dass die Option Verbindung wiederverwenden ausgewählt ist. Die Option ist standardmäßig ausgewählt und gibt an, dass der Server die LDAP-Verbindung wiederverwenden soll. Wählen Sie diese Option nur dann ab, wenn ein Router Anforderungen an mehrere LDAP-Server absetzt oder keine Affinität unterstützt. Lassen Sie diese Option für alle anderen Situationen ausgewählt.
  13. Optional: Vergewissern Sie sich, dass die Option Groß-/Kleinschreibung für Berechtigung ignorieren ausgewählt ist. Wenn diese Option aktiviert ist, wird bei der Berechtigungsprüfung die Groß-/Kleinschreibung nicht abgeglichen. Bei der Berechtigungsprüfung wird normalerweise der vollständige DN eines Benutzers unter Berücksichtigung der Groß-/Kleinschreibung geprüft. Dieser Name ist für den LDAP-Server eindeutig. Wenn Sie jedoch den LDAP-Server von IBM Directory Server oder Sun ONE (früher iPlanet) Directory Server verwenden, muss diese Option aktiviert werden, da die von LDAP-Servern abgerufenen Gruppeninformationen mit Blick auf die Groß-/Kleinschreibung inkonsistent sind. Diese Inkonsistenz wirkt sich nur auf die Berechtigungsprüfung aus. Andernfalls ist das Feld optional und kann aktiviert werden, wenn im Hinblick auf die Berechtigung eine Überprüfung der Groß-/Kleinschreibung erfolgen soll. Beispielsweise können Sie das Feld verwenden, wenn Sie Zertifikate verwenden und der Zertifikatinhalt nicht mit der Groß-/Kleinschreibung des Eintrags im LDAP-Server übereinstimmt.

    Sie können die Option Groß-/Kleinschreibung ignorieren aktivieren, wenn Sie zwischen dem Produkt und Lotus Domino SSO (Single Sign-On) verwenden. Diese Option ist standardmäßig ausgewählt.

  14. Optional: Wählen Sie die Option SSL aktiviert aus, wenn Sie mit dem LDAP-Server über SSL kommunizieren möchten.
    Wichtig: Dieser Schritt ist nur erfolgreich, sofern das Unterzeichnerzertifikat für LDAP zuerst dem Truststore hinzugefügt wird, der verwendet wird. Wenn das Unterzeichnerzertifikat aus LDAP dem Truststore nicht hinzugefügt wird, geschieht Folgendes:
    • Es wird ein Fehler von der Administrationskonsole ausgegeben.
    • Die Deployment-Manager-Datei "systemout.log" enthält die Nachricht CWPKI0022E: FEHLER BEIM SSL-HANDSHAKE, die Sie darauf hinweist, dass das Unterzeichnerzertifikat dem Truststore hinzugefügt werden muss.

    Um eine fehlerfreie Operation in diesem Schritt zu gewährleisten, müssen Sie das Unterzeichnerzertifikat aus LDAP zuerst in eine Datei extrahieren und diese Datei an die Maschine mit WebSphere Application Server senden. Anschließend können Sie das Zertifikat dem Truststore hinzufügen, der für LDAP definiert wird. Auf diese Weise stellen Sie sicher, dass die verbleibenden Aktionen für diesen Schritt erfolgreich sind.

    Wenn Sie die Option SSL aktiviert verwenden, können Sie die Option Zentral verwaltet oder Speziellen SSL-Alias verwenden auswählen.
    Zentral verwaltet
    Wenn Sie diese Option auswählen, können Sie eine SSL-Konfiguration für einen bestimmten Geltungsbereich, z. B. Zelle, Knoten, Server oder Cluster, in einer zentralen Position festlegen. Zur Verwendung der Option Zentral verwaltet müssen Sie die SSL-Konfiguration für die jeweilige Gruppe von Endpunkten angeben. In der Anzeige "Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten" werden alle eingehenden und abgehenden Endpunkte angezeigt, die das Protokoll SSL verwenden. Wenn Sie in dieser Anzeige den Abschnitt "Eingehend" oder "Abgehend" erweitern und auf den Namen eines Knotens klicken, können Sie eine SSL-Konfiguration anzeigen, die für jeden Endpunkt auf diesem Knoten verwendet wird. Für eine LDAP-Registry können Sie die geerbte SSL-Konfiguration überschreiben, indem Sie eine SSL-Konfiguration für LDAP angeben. Führen Sie die folgenden Schritte aus, um eine SSL-Konfiguration für LDAP anzugeben:
    1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten.
    2. Klicken Sie auf Abgehend > Zellenname > Knoten > Knotenname > Server > Servername > LDAP.
    Speziellen SSL-Alias verwenden
    Wählen Sie die Option Speziellen SSL-Alias verwenden nur aus, wenn Sie eine der SSL-Konfigurationen im Menü auswählen möchten.
    Diese Konfiguration wird nur verwendet, wenn SSL für LDAP aktiviert ist. Die Standardeinstellung ist DefaultSSLSettings. Sie können auf den Namen einer vorhandenen Konfiguration klicken, um sie zu ändern, oder Sie können die folgenden Schritte ausführen, um eine neue SSL-Konfiguration zu erstellen:
    1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
    2. Klicken Sie unter "Konfigurationseinstellungen" auf Sicherheitskonfigurationen für Endpunkt verwalten.
    3. Wählen Sie einen SSL-Konfigurationsnamen für ausgewählte Geltungsbereiche, z. B. eine Zelle, einen Server oder einen Cluster, aus.
    4. Klicken Sie unter "Zugehörige Elemente" auf SSL-Konfigurationen.
    5. Klicken Sie auf Neu.
  15. Klicken Sie auf OK oder Anwenden, bis Sie zur Anzeige "Globale Sicherheit" zurückkehren, und klicken Sie auf dieser Seite auf Speichern, um die LDAP-Konfiguration zu speichern.
  16. Prüfen Sie, ob Verfügbare Realmdefinitionen auf Eigenständige LDAP-Registry gesetzt ist. Andernfalls wählen Sie diese Einstellung im Pulldown-Menü aus und legen Sie sie als aktuelle Registry fest. Wählen Sie anschließend Anwenden aus.

Ergebnisse

Dieser Schritt ist erforderlich, um die LDAP-Benutzerregistry zu konfigurieren. Dieser Schritt muss im Rahmen der Aktivierung der Sicherheit für WebSphere Application Server ausgeführt werden.

Nächste Schritte

  1. Wenn Sie die Sicherheit aktivieren, führen Sie die verbleibenden Schritte, wie im Artikel Sicherheit für den Realm aktivieren beschrieben, aus.
  2. [z/OS]Wenn Sie SAF-Berechtigung (System Authorization Facility) für Ihre LDAP-Registry verwenden möchten, lesen Sie die Informationen im Artikel Hinweise zu SAF für die Betriebssystem- und Anwendungsebenen.
  3. Die in dieser Anzeige vorgenommenen Änderungen werden erst wirksam, wenn Sie alle Produktserver (Deployment Manager, Knoten und Application Server) speichern, stoppen und erneut starten. Wenn der Server fehlerfrei initialisiert wird, ist die Konfiguration korrekt.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldap
Dateiname:tsec_ldap.html