Microsoft-Active Directory für die Authentifizierung verwenden

WebSphere Application Server unterstützt Microsoft-Active Directory. Viele Installationen verwenden Microsoft-Active Directory als primäre Komponente für die Verwaltung der Benutzerauthentifizierung und der Benutzerdaten. Die Authentifizierung eines Benutzers über mehrere Repositorys oder ein verteiltes Lightweight Directory Access Protocol (LDAP) wie eine Microsoft-Active Directory-Gesamtstruktur kann extrem herausfordernd sein. Wenn zur Laufzeit beim Durchsuchen der gesamten Registry mehrere Übereinstimmungen gefunden werden, schlägt die Authentifizierung aufgrund des mehrdeutigen Ergebnisses fehl.

Informationen zu diesem Vorgang

Benutzer-IDs sind in einer Domäne auf jeden Fall eindeutig, aber es gibt keine automatische Garantie, dass eine bestimmte Benutzer-ID auch in einer Baum- oder Gesamtstruktur eindeutig ist. Die folgende Abbildung zeigt eine Benutzer-ID, die in einer Baum- bzw. Gesamtstruktur nicht eindeutig ist.
Abbildung 1. Strategie für die Suche in einer Gesamtstruktur. Abbildung zur Suche der nicht eindeutigen ID sAMAccountName in der Gesamtstruktur. Strategie für die Suche in einer Gesamtstruktur
Die Authentifizierung von Benutzern in Baum- oder Gesamtstrukturen kann eine schwierige Aufgabe sein, und es sollten die folgenden Schritte ausgeführt werden:
[Windows]Anmerkung: Wenn folgende Bedingungen zutreffen, müssen Sie sicherstellen, dass der Computersuchdienst von Microsoft Windows in Ihrem Betriebssystem aktiviert ist:
  • Ihre primäre Domäne wird von Microsoft-Active Directory verwaltet.
  • Der primäre Domänencontroller (PDC) befindet sich in einem anderen Teilnetz als WebSphere Application Server.
  • Sie legen für WebSphere Application Server die Benutzerregistry LocalOS anstatt LDAP (Lightweight Directory Access Protocol) fest.
Weitere Informationen dazu, wie Sie den Computersuchdienst von Microsoft Windows festlegen und prüfen können, ob er aktiviert ist, finden Sie in der Microsoft-Dokumentation für Ihr Betriebssystem.

Vorgehensweise

  1. Analysieren Sie das Konstrukt von Microsoft-Active Directory, das Ihre Installation definiert. Ihre Analyse kann die folgenden Ergebnisse liefern:
    • Eine einzige LDAP-Registry - Einfache Konfiguration
    • Eingebundenes Repository (Gesamtstruktur) - Typische Konfiguration
    • Sammlung eingebundener Repositorys (Sammlung von Baumstrukturen in einer Gesamtstruktur) - Weniger typische Konfiguration
    • Kombination von Benutzer- und Gruppengesamtstrukturen - Seltene Konfiguration
  2. Entwickeln Sie Strategien für die Benutzersuche, die Ihrer Installation von Microsoft-Active Directory entsprechen. Denken Sie daran, dass Benutzer-IDs in einer Domäne auf jeden Fall eindeutig sind, aber es keine automatische Garantie gibt, dass eine bestimmte Benutzer-ID auch in einer Baum- oder Gesamtstruktur eindeutig ist.
  3. Stellen Sie durch Tests sicher, dass mit Ihren Suchstrategien für die Authentifizierung Benutzer erfolgreich in Ihrer Installation von Microsoft-Active Directory authentifiziert werden.

Ergebnisse

Sie können Benutzer mit LDAP-Registrys in einer Active Directory-Gesamtstruktur authentifizieren.

Nächste Schritte

Fehler vermeiden Fehler vermeiden: Wenn Sie eines dieser Szenarien auswählen, ziehen Sie die entsprechenden Informationen zu Microsoft-Active Directory zu Rate, um sich mit allen Auswirkungen vertraut zu machen, die diese Szenarien auf Ihre Konfigurationsplanung haben können.gotcha

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad
Dateiname:tsec_was_ad.html