Einstellungen für eigenständige LDAP-Registry

Verwenden Sie diese Seite, um für den Fall, dass sich Benutzer und Gruppen in einem externen LDAP-Verzeichnis befinden, LDAP-Einstellungen zu konfigurieren.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen. Wählen Sie Eigenständige LDAP-Registry aus und klicken Sie auf Konfigurieren.

Wenn die Sicherheit aktiviert ist und eine dieser Eigenschaften geändert wird, rufen Sie die Anzeige "Globale Sicherheit" auf und klicken Sie auf Anwenden, um die Änderungen zu prüfen.

WebSphere Application Server Version 7.0 unterscheidet zwischen den Benutzeridentitäten für Administratoren, die die Umgebung verwalten, und Serveridentitäten für die Authentifizierung der Kommunikation zwischen Servern. In den meisten Fällen werden Serveridentitäten automatisch generiert und sind nicht in einem Repository gespeichert.

[AIX Solaris HP-UX Linux Windows]Wenn Sie der Zelle der aktuellen Version jedoch einen Knoten einer früheren Version hinzufügen und für den Knoten der früheren Versione iner Server-ID und ein Serverkennwort verwendet wurde, müssen Sie sicherstellen, dass die Server-ID und das Serverkennwort für die frühere Version im Repository für diese Zelle definiert sind. Geben Sie in dieser Anzeige die Benutzer-ID und das Kennwort für den Server ein.

Fehler vermeiden Fehler vermeiden: Einstellungen, ´die sich auf System Authorization Facility (SAF) beziehen, sind in dieser Anzeige möglicherweise nicht sichtbar. Gehen Sie zum Ändern dieser Einstellungen wie folgt vor:
  1. Rufen Sie die Anzeige für SAF auf, indem Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider klicken.
  2. Wählen Sie in der Dropdown-Liste unter der Option "Berechtigungsprovider" den Eintrag System Authorization Facility (SAF) aus.
  3. Klicken Sie auf Konfigurieren.
gotcha
Anmerkung: Bei der Erstellung des Anfangsprofils wird die Option "Eingebundene Repositorys" mit der dateibasierten Registry als Sicherheitsregistry-Option in WebSphere Application Server konfiguriert. Die Optionen in dieser Sicherheitsregistry-Konfiguration können geändert werden. Es kann beispielsweise die eigenständige LDAP-Registry verwendet werden. Anstatt die Option "Eingebundene Repositorys" in der Konfiguration des Repositorys für Benutzeraccounts jedoch in die Option "Eigenständige LDAP-Registry" zu ändern, sollten Sie die Verwendung der Option "Eingebundene Repositorys" in Erwägung ziehen, da diese Option die LDAP-Konfiguration unterstützt. Eingebundene Repositorys bieten ein breites Leistungsspektrum. Sie unterstützen beispielsweise die Verwendung einer oder mehrerer Benutzerregistrys. Außerdem unterstützen sie die Einbindung eines oder mehrerer LDAP-Verzeichnisse zusätzlich zu dateibasierten und angepassten Registrys. Eingebundene Repositorys bieten darüber hinaus verbesserte Failovermöglichkeiten und zuverlässige Funktionen für die Verwaltung von Membern (Benutzer und Gruppe). Eingebundene Repositorys sind erforderlich, wenn Sie die neuen Funktionen für die Verwaltung von Membern in WebSphere Portal Version 6.1 und höher und Process Server Version 6.1 und höher verwenden. Die Verwendung eingebundener Repositorys ist für die folgenden LDAP-Verweise erforderlich, die eine allgemeine Voraussetzung in einigen LDAP-Serverumgebungen (wie Microsoft Active Directory) sind.

Es wird empfohlen, eine Migration von eigenständigen LDAP-Registrys auf eingebundene Repositorys durchzuführen. Wenn Sie ein Upgrade auf WebSphere Portal 6.1 und/oder ein Upgrade auf WebSphere Process Server 6.1 und höher durchführen, müssen Sie die Migration auf eingebundene Repositorys vor diesen Upgrades durchführen. Weitere Informationen zu eingebundenen Repositorys und deren Leistungsspektrum finden Sie im Artikel "Eingebundene Repositorys". Weitere Informationen zur Migration auf eingebundene Repositorys finden Sie im Artikel "Eigenständiges LDAP-Repository auf eine LDAP-Repository-Konfiguration mit eingebundenen Repositorys migrieren".

Name des primären Benutzers mit Verwaltungsaufgaben

Gibt den Namen eines Benutzers mit Administratorrechten an, der in Ihrer Benutzerregistry definiert ist.

Der Benutzername wird bei aktivierter Verwaltungssicherheit verwendet, um die Anmeldung an der Administrationskonsole durchzuführen. Version 6.1 und höher setzt einen Benutzer mit Verwaltungsaufgaben voraus, der sich von der Serverbenutzeridentität unterscheidet, damit die Verwaltungsaktionen überwacht werden können.
Achtung: In WebSphere Application Server Version 6.x muss dieselbe Benutzeridentität für Verwaltungszugriffe und die interne Prozesskommunikation verwendet werden. Wenn Sie eine Migration auf Version 8.x durchführen, wird diese Identität als Serverbenutzeridentität verwendet. Für den Benutzer mit Verwaltungsaufgaben muss eine andere Benutzeridentität angegeben werden.
[z/OS]Anmerkung: Wenn Sie LDAP als Benutzerregistry konfigurieren, SAF aktiviert und die Eigenschaft com.ibm.security.SAF.authorization auf true gesetzt ist, wird das Feld "Name des primären Benutzers mit Verwaltungsaufgaben" nicht in der Administrationskonsole angezeigt.

Automatisch generierte Server-ID

Ermöglicht dem Anwendungssesrver, die Serveridentität zu generieren. Dies wird für Umgebungen empfohlen, die nur Knoten der Version 6.1 oder höher enthalten. Automatisch generierte Serveridentitäten werden nicht in einem Benutzerrepository gespeichert.

Information Wert
Standardeinstellung Aktiviert
[AIX Solaris HP-UX Linux Windows][IBM i]

Im Repository gespeicherte Server-ID

Gibt eine Benutzer-ID im Repository an, die für die interne Prozesskommunikation verwendet wird. Zellen, die Knoten der Version 6.1 oder höher enthalten, erfordern eine Serverbenutzer-ID, die im aktiven Benutzerrepository definiert ist.

Information Wert
Standardeinstellung Aktiviert
[AIX Solaris HP-UX Linux Windows]

Serverbenutzer-ID oder Benutzer mit Verwaltungsaufgaben auf einem Knoten der Version 6.0.x

Gibt die Benutzer-ID an, die für die Ausführung des Anwendungsservers in einem Sicherheitskontext verwendet wird.

[AIX Solaris HP-UX Linux Windows]

Kennwort

Gibt das Kennwort an, das der ID des Sicherheitsservers entspricht.

Typ des LDAP-Servers

Gibt den Typ des LDAP-Servers an, zu dem Sie die Verbindung herstellen.

[AIX Solaris HP-UX Linux Windows][IBM i]IBM® SecureWay Directory Server wird nicht unterstützt.

[z/OS]IBM SecureWay Directory Server wird vom Anwendungsserver für z/OS und vielen anderen LDAP-Servern unterstützt.

Host

Gibt die Host-ID (IP-Adresse oder DNS-Name) des LDAP-Servers an.

Port

Gibt den Host-Port des LDAP-Servers an.

Wenn mehrere Anwendungsserver Server installiert und für die Ausführung in derselben SSO-Domäne konfiguriert sind oder der Anwendungsserver Server mit einer älteren Version des WebSphere Application Server interagiert, muss die Portnummer in allen Konfigurationen identisch sein. Wenn der LDAP-Port in einer Konfiguration der Version 6.1 oder höher beispielsweise explizit mit 389 definiert ist und ein WebSphere Application Server der Version 8.x mit dem Server der Version 6.1 oder höher interagieren soll, müssen Sie sicherstellen, dass Port 389 explizit für den Server der Version 8.x angegeben wird.
Information Wert
Standardeinstellung 389
Typ: Integer

Basis-DN

Gibt den definierten Basisnamen des Verzeichnisservice an und legt den Ausgangspunkt für LDAP-Suchvorgänge des Verzeichnisservice fest. In den meisten Fällen sind der Bind-DN und das Bind-Kennwort erforderlich. Wenn mit anonymem Bind jedoch alle erforderlichen Funktionen abgedeckt werden, sind kein Bind-DN und kein Bind-Kennwort erforderlich.

Für einen Benutzer mit dem DN cn=John Doe , ou=Rochester, o=IBM, c=US können Sie den Basis-DN wie folgt angeben: ou=Rochester, o=IBM, c=US oder o=IBM c=US oder c=US. Bei den Werten in diesem Feld wird für die Berechtigung zwischen Groß- und Kleinschreibung unterschieden. Wenn beispielsweise ein Token von einer anderen Zelle oder von Lotus Domino empfangen wird, muss also der Basis-DN des Servers exakt mit dem Basis-DN der anderen Zelle oder von Lotus Domino übereinstimmen. Falls die Unterscheidung von Groß-/Kleinschreibung bei der Berechtigung unerwünscht ist, können Sie die Option Groß-/Kleinschreibung ignorieren aktivieren. Diese Option ist für alle LDAP-Verzeichnisse (Lightweight Directory Access Protocol) außer Lotus Domino Directory, IBM Tivoli Directory Server Version 6.0 und Novell eDirectory erforderlich. Bei Lotus Domino Directory ist das Feld optional.

Definierter Name für Bindung

Gibt das Kennwort des Anwendungsservers an, das bei der Bindung an den Verzeichnisservice verwendet werden soll.

Falls keine Name angegeben wird, stellt der Anwendungsserver die Bindung anonym her. In der Beschreibung des Feldes "Definierter Basis-Name" finden Sie Beispiele für definierte Namen.

Kennwort für Bindung

Gibt das Kennwort des Anwendungsservers an, das bei der Bindung an den Verzeichnisservice verwendet werden soll.

Suchzeitlimit

Gibt das Zeitlimit eines LDAP-Servers für die Reaktion auf eine Anforderung a (in Sekunden). Nach Erreichen des Zeitlimits wird die Anforderung gestoppt.

Information Wert
Standardeinstellung 120

Verbindung wiederverwenden

Gibt an, ob der Server die LDAP-Verbindung wiederverwenden soll. Inaktivieren Sie diese Option in den seltenen Fällen, in denen ein Router Anforderungen an mehrere LDAP-Server verteilt oder keine Affinität unterstützt.

Information Wert
Standardeinstellung Aktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert
Wichtig: Wenn die Option Verbindung wiederverwenden inaktiviert wird, erstellt der Anwendungsserver für jede LDAP-Suchanforderung eine neue LDAP-Verbindung. Dies wirkt sich auf die Systemleistung aus, wenn in der Umgebung sehr viele LDAP-Aufrufe abgesetzt werden. Die Option wird bereitgestellt, weil der Router die Anforderung nicht an denselben LDAP-Server sendet. Die Option wird auch verwendet, wenn das Inaktivitätszeitlimit für die Verbindung oder das Zeitlimit für die Firewall zwischen dem Anwendungsserver und LDAP zu klein ist.

Wenn Sie WebSphere Edge Server für LDAP-Failover verwenden, müssen Sie TCP-Rücksetzanforderungen in Edge Server konfigurieren. Bei einer TCP-Rücksetzanforderung wird die Verbindung sofort geschlossen und ein Failover auf den Backup-Server durchgeführt.

Groß-/Kleinschreibung für Berechtigung ignorieren

Gibt an, dass eine Berechtigungsprüfung ohne Berücksichtigung der Groß-/Kleinschreibung durchgeführt wird, wenn Sie die Standardberechtigung verwenden.

Diese Option ist erforderlich, wenn IBM Tivoli Directory Server als LDAP-Verzeichnisserver ausgewählt ist.

Diese Option ist erforderlich, wenn Sun ONE Directory Server als LDAP-Verzeichnisserver ausgewählt ist. Weitere Informationen hierzu finden Sie im Artikel Spezifische Verzeichnisserver als LDAP-Server verwenden in der Dokumentation.

Diese Option ist optional und kann aktiviert werden, wenn im Hinblick auf die Berechtigung eine Überprüfung der Groß-/Kleinschreibung erfolgen soll. Beispiel: Sie verwenden Zertifikate und der Zertifikatsinhalt stimmt nicht mit der Groß-/Kleinschreibung des Eintrags im LDAP-Server überein. Sie können die Option Groß-/Kleinschreibung für Berechtigung ignorieren aktivieren, wenn Sie zwischen dem Anwendungsserver und Lotus Domino SSO (Single Sign-On) verwenden.

Information Wert
Standardeinstellung Aktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert

SSL aktiviert

Gibt an, ob die SSL-Übertragung für den LDAP-Server aktiviert ist.

Bei Aktivierung werden die angegebenen SSL-Einstellungen für LDAP verwendet.

Zentral verwaltet

Gibt an, dass die Auswahl einer SSL-Konfiguration (Secure Sockets Layer) auf der Ansicht der abgehenden Topologie für die JNDI-Plattform (Java Naming and Directory Interface) basiert.

Zentral verwaltete Konfigurationen unterstützen einen Standort bei der Verwaltung von SSL-Konfigurationen und verteilen diese nicht auf die Konfigurationsdokumente.

Information Wert
Standardeinstellung Aktiviert

Speziellen SSL-Alias verwenden

Gibt den SSL-Konfigurationsalias an, der für abgehende SSL-Kommunikation über LDAP verwendet werden soll.

Diese Option überschreibt die zentral verwaltete Konfiguration für die JNDI-Plattform.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_singleldaprepos
Dateiname:usec_singleldaprepos.html