Globaler Katalog von Microsoft-Active Directory

Ein so genannter globaler Katalog ist die Kurzbezeichnung für einen Server für globalen Katalog. Ein globaler Katalog enthält einen vollständigen Satz mit Attributen für die Domäne, in der er sich befindet, und eine Teilmenge mit Attributen für alle Objekte in der Microsoft-Active Directory-Gesamtstruktur. Die zwei wichtigsten Funktionen eines globalen Katalogs im Microsoft-Active Directory sind die Anmeldefunktion und die Microsoft-Active Directory-Abfragen.

Ein globaler Katalog in einer Installation von Microsoft-Active Directory mit dem Produkt ist ein einzelnes LDAP-Repository (Lightweight Directory Access Protocol), das eine Teilmenge mit Benutzerinformationen aus allen Domänen in der Gesamtstruktur enthält. Diese Informationen umfassen Benutzer-IDs, Authentifizierungsdaten und Gruppen (jedoch nicht alle Gruppeninformationen).

Sie können den globalen Katalog in jedem Domänencontroller in der Gesamtstruktur verwenden, auch in untergeordneten Domänen. Der globale Katalog bietet eine Lösung für die Einschränkung in WebSphere Application Server, die darin besteht, dass nur eine einzelne Registry genutzt werden kann. Es gibt Einschränkungen für den globalen Katalog. Benutzer des lokalen Domänencontrollers enthalten Informationen zur Gruppenzugehörigkeit (memberOf). Benutzer eines fremden Domänencontrollers enthalten eingeschränkte Informationen zur Gruppenzugehörigkeit, weil die globalen Gruppeninformationen nicht in jedem Domänencontroller repliziert werden.

Verschachtelte globale Gruppen in universellen Gruppen

Die folgende Struktur ist für Gruppenzugehörigkeiten typisch und hat die folgenden Merkmale:
  • Benutzer werden auf mehrere Domänencontrollern in einer Gesamtstruktur verteilt.
  • Benutzer werden in globalen Gruppen in ihrem eigenen lokalen Domänencontroller definiert.
  • Eine universelle Gruppe enthält die globalen Gruppen. Dies wird durch eine Java™-EE-Rolle (Java Platform Enterprise Edition) widergespiegelt, die einer Gruppe von Benutzern, die auf mehrere Domänencontroller verteilt sind, zugeordnet ist.

Die folgende Abbildung veranschaulicht verschachtelte globale Gruppen in universellen Gruppen.

Abbildung 1. Verschachtelte globale Gruppen in universellen Gruppen. Die Abbildung veranschaulicht verschachtelte globale Gruppen in universellen Gruppen. Verschachtelte globale Gruppen in universellen Gruppen
Methoden zu finden, WebSphere Application Server so zu konfigurieren, dass Benutzer und deren Gruppenzugehörigkeiten ermittelt werden können, wenn die Informationen auf mehrere Domänencontroller verteilt sind, stellt eine Herausforderung dar. Bei einer Methode wird vorausgesetzt, dass WebSphere Application Server LDAP-Links verwendet, um den Ausgangsdomänencontroller für jeden Benutzer zu finden, und Abfragen mit verschachtelten Gruppen durchführt.
Fehler vermeiden Fehler vermeiden: Bei dieser Methode wird der globale Katalog nicht verwendet. gotcha

Bei der einfachsten Methode werden universelle Gruppen verwendet, die Benutzer enthalten. Außerdem wird ein globaler Katalog verwendet, was die Verwendung von Links erfordert. Die folgende Abbildung veranschaulicht diese Methode.

Abbildung 2. Gruppenzugehörigkeiten lokalisieren. Diese Abbildung veranschaulicht den Prozess der Lokalisierung von Gruppenzugehörigkeiten. Gruppenzugehörigkeiten lokalisieren
Eine Variante dieser Methode besteht darin, keine universellen Gruppen zu verwenden. Sie können diese Methode verwenden, wenn universelle Gruppen nicht verfügbar sind.
Fehler vermeiden Fehler vermeiden: Bei dieser Methode wird der globale Katalog nicht verwendet. gotcha
Sie haben die Möglichkeit, den globalen Katalog von Microsoft-Active Directory als WebSphere Application Server-Registry zu verwenden. Es gibt drei Szenarien, von denen die ersten zwei veranschaulichen, wie Fehler eintreten.
  1. Wenn Sie WebSphere Application Server so konfigurieren, dass er den globalen Katalog als LDAP-Registry verwendet und Links verwendet, sind die einzelnen Benutzer in jedem Domänencontroller sichtbar. Da ein Benutzer nur einmal in der Registry vorhanden sein darf, schlagen allen Anmeldungen fehl.
  2. Wenn Sie WebSphere Application Server so konfigurieren, dass er den globalen Katalog als LDAP-Registry verwendet, keine Links verwendet und die einzelnen Benutzer sich in globalen Gruppen befinden, ist die Gruppenzugehörigkeit vollständig. Sehen Sie sich die folgende Abbildung an, die diese Einschränkung veranschaulicht.
    Abbildung 3. Globaler Katalog (ohne die Nutzung von Links). Eine Abbildung eines globalen Katalogs ohne Verwendung von LinksGlobaler Katalog (ohne die Nutzung von Links)
  3. Wenn Sie WebSphere Application Server so konfigurieren, dass er den globalen Katalog als LDAP-Registry verwendet, keine Links verwendet und Benutzer sich direkt in universellen globalen Gruppen befinden, ist die Gruppenzugehörigkeit vollständig.
Fehler vermeiden Fehler vermeiden: Wenn Sie eines dieser Szenarien auswählen, ziehen Sie die entsprechenden Informationen zu Microsoft-Active Directory zu Rate, um sich mit allen Auswirkungen vertraut zu machen, die diese Szenarien auf Ihre Konfigurationsplanung haben können.gotcha

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_globcat
Dateiname:csec_was_ad_globcat.html