Bestimmte Verzeichnisserver als LDAP-Server verwenden

Dieser Artikel enthält wichtige Informationen zu den Verzeichnisservern, die als LDAP-Server in WebSphere Application Server unterstützt werden.

Vorbereitende Schritte

Prognosen von Microsoft Active Directory werden mit der eigenständigen LDAP-Registry nicht unterstützt. Wenn die Registry für eingebundene Repositorys für die Verwendung von Active Directory-LDAP konfiguriert ist, wird die Verwendung von Gesamtstrukturen nicht unterstützt.

Informationen zu diesem Vorgang

Es wird erwartet, dass andere LDAP-Server der LDAP-Spezifikation folgen. Die Unterstützung ist auf diese spezifischen Verzeichnisserver beschränkt. Wenn Sie einen anderen Verzeichnisserver verwenden möchten, wählen Sie in der Liste den Verzeichnistyp "Angepasst" aus, und geben Sie dann die Filter an, die für dieses Verzeichnis erforderlich sind.

Zur Verbesserung der Leistung bei LDAP-Suchen wurden die Standardfilter für IBM Tivoli Directory Server, Sun ONE und Active Directory so definiert, dass die Ergebnisse der Suche nach einem Benutzer alle relevanten Informationen über den Benutzer enthalten (Benutzer-ID, Gruppen usw.). Deshalb setzt das Produkt auch nicht mehrere Aufrufe an den LDAP-Server ab. Diese Definition ist nur in den Verzeichnistypen möglich, die Suchoperationen unterstützen, in denen vollständige Benutzerdaten abgerufen werden.

Wenn Sie IBM Directory Server verwenden, wählen Sie die Option Groß-/Kleinschreibung für Berechtigung ignorieren aus. Wenn Gruppeninformationen aus den Attributen für Benutzerobjekte entnommen werden, ist die Groß-/Kleinschreibung nämlich nicht dieselbe wie beim direkten Abrufen der Gruppeninformationen. Damit die Berechtigung in diesem Fall funktioniert, führen Sie eine Überprüfung ohne Berücksichtigung der Groß-/Kleinschreibung durch, und überprüfen Sie die Anforderungen für die Option Ignore case for authorization.

[z/OS]Der LDAP Security Server für die Plattform z/OS wird unterstützt, wenn das Back-End DB2 Technical Database Management (TDBM) verwendet wird. Verwenden Sie die Filter von SecureWay Directory Server, um die Verbindung zum LDAP Security Server für die Plattform z/OS herzustellen.

  • [IBM i]Directory Services als LDAP-Server verwenden

    Die Unterstützung für Gruppen, die andere Gruppen oder verschachtelte Gruppen enthalten, richtet sich nach der jeweiligen Version von WebSphere Application Server und LDAP. Weitere Informationen finden Sie im Artikel Unterstützung dynamischer und verschachtelter Gruppen für LDAP.

  • IBM Tivoli Directory Server als LDAP-Server verwenden

    [AIX Solaris HP-UX Linux Windows][IBM i] Wenn Sie IBM Tivoli Directory Server (früher IBM Directory Server) verwenden möchten, wählen Sie IBM Tivoli Directory Server als Verzeichnistyp aus.

    [z/OS]Sie können für IBM Directory Server den Verzeichnistyp IBM Tivoli Directory Server oder SecureWay auswählen.

    Die beiden Verzeichnistypen unterscheiden sich in der Art, wie die Gruppenzugehörigkeit ermittelt wird. Es wird empfohlen, IBM Tivoli Directory Server auszuwählen, weil mit diesem Verzeichnisserver zur Laufzeit die beste Leistung erzielt wird. In IBM Tivoli Directory Server ist die Gruppenzugehörigkeit ein Betriebsattribut. Mit diesem Attribut wird die Gruppenzugehörigkeit durch Auflistung des Attributs "ibm-allGroups" für den Eintrag ermittelt. Es können alle Gruppenzugehörigkeiten, einschließlich der Zugehörigkeiten zu statischen, dynamischen und verschachtelten Gruppen, mit dem Attribut ibm-allGroups zurückgegeben werden.

    WebSphere Application Server unterstützt dynamische Gruppen, verschachtelte Gruppen und statische Gruppen in IBM® Tivoli Directory Server mit dem Attribut ibm-allGroups. Zur Verwendung dieses Attributs in einer Anwendung für Sicherheitsberechtigungen müssen Sie einen Abgleich ohne Berücksichtigung der Groß-/Kleinschreibung durchführen, damit ibm-allGroups alle Werte in Großbuchstaben zurückgibt.

    Wichtig: Es wird empfohlen, IBM Tivoli Directory Server Version 6.0 nicht auf derselben Maschine zu installieren wie Version 9.0. Sie können Version 9.0 nicht als Administrationskonsole für IBM Tivoli Directory Server verwenden. Wenn IBM Tivoli Directory Server Version 6.0 und Version 9.0 auf derselben Maschine installiert werden, können Portkonflikte auftreten.

    Wenn Sie IBM Tivoli Directory Server Version 6.0 und Version 9.0 auf derselben Maschine installieren müssen, beachten Sie die folgenden Informationen:

    • Bei der Installation von IBM Tivoli Directory Server müssen Sie das Web Administration Tool Version 5.1.1 auswählen.
    • Installieren Sie Version 9.0.
    • Wenn Sie Version 9.0 installieren, ändern Sie die Portnummer für den Anwendungsserver.
    • Möglicherweise müssen Sie die Umgebungsvariablen von WebSphere Application Server in Version 9.0 für WAS_HOME und WAS_INSTALL_ROOT (bzw. APP_SERVER_ROOT für IBM i) anpassen. Klicken Sie zum Ändern der Variablen in der Administrationskonsole auf Umgebung > WebSphere-Variablen.
  • Verwendung von Lotus Domino Enterprise Server als LDAP-Server
    Wenn Sie Lotus Domino Enterprise Server Version 6.5.4 oder Version 7.0 auswählen und das Attribut "Kurzname" im Schema nicht definiert ist, können Sie eine der folgenden Aktionen ausführen:
    • Dem Schema das Attribut "Kurzname" hinzufügen.
    • Im Zuordnungsfilter für Benutzer-IDs den Kurznamen durch ein anderes definiertes Attribut (vorzugsweise die UID) ersetzen. Beispiel: Ändern Sie Person:Kurzname in Person:UID.
    Der Zuordnungsfilter für Benutzer-IDs wurde geändert, damit anstelle des Attributs "Kurzname" das Attribut "UID" verwendet wird, weil die aktuelle Version von Lotus Domino standardmäßig kein Attribut "Kurzname" erstellt. Wenn Sie das Attribut "Kurzname" verwenden möchten, definieren Sie das Attribut im Schema und ändern Sie den Zuordnungsfilter für Benutzer-IDs.

    User ID Map:  Person:Kurzname

  • Sun ONE Directory Server als LDAP-Server verwenden
    Sie können Sun ONE Directory Server als Verzeichnisserver auswählen. In Sun ONE Directory Server ist die Objektklasse für das Erstellen einer Gruppe standardmäßig groupOfUniqueName. Zur Leistungsverbesserung verwendet WebSphere Application Server das Benutzerobjekt, um die Gruppenzugehörigkeit des Benutzers aus dem Attribut "nsRole" zu ermitteln. Erstellen Sie die Gruppe aus der Rolle. Wenn Sie groupOfUniqueName zum Suchen von Gruppen verwenden möchten, geben Sie Ihre eigenen Filtereinstellungen an. Rollen vereinheitlichen Einträge. Rollen zeichnen sich durch eine effiziente und einfache Nutzung in Anwendungen aus. Eine Anwendung kann beispielsweise die Rolle eines Eintrags ermitteln, indem sie alle Rollen eines bestimmten Eintrags auflistet, anstatt eine Gruppe auszuwählen und die Member-Liste zu durchsuchen. Bei der Verwendung von Rollen können Sie eine Gruppe mit einer der folgenden Rollen erstellen:
    • verwaltete Rolle
    • gefilterte Rolle
    • verschachtelte Rolle
    Diese Rollen können alle mit dem Attribut "nsRole" verarbeitet werden.
  • Microsoft Active Directory Server als LDAP-Server verwenden

    Wenn Sie Microsoft Active Directory als LDAP-Server für die Authentifizierung bei WebSphere Application Server verwenden möchten, müssen Sie spezielle Schritte ausführen. Standardmäßig lässt Microsoft Active Directory keine anonymen LDAP-Abfragen zu. Zum Erstellen von LDAP-Abfragen oder zum Durchsuchen des Verzeichnisses, muss ein LDAP-Client über den definierten Namen (DN) eines Accounts, der berechtigt ist, die von Application Server benötigten Werte von LDAP-Attributen, wie z. B. Benutzer- und Gruppeninformationen, zu suchen und zu lesen, eine Bindung zum LDAP-Server herstellen. Gruppenzugehörigkeiten werden in Active Directory durch die Auflistung des Attributs memberof für einen bestimmten Benutzereintrag und nicht durch das Durchsuchen der Member-Liste in jeder Gruppe ermittelt. Wenn Sie dieses Standardverhalten ändern möchten, um jede Gruppe zu durchsuchen, können Sie den Wert des Feldes Zuordnung von Gruppenmember-IDs von memberof:member in group:member ändern.

Die folgenden Schritte beschreiben, wie Sie Microsoft Active Directory als LDAP-Server einrichten.

Vorgehensweise

  1. Ermitteln Sie den vollständigen definierten Namen und das Kennwort eines Accounts in der Administratorgruppe.
    [AIX Solaris HP-UX Linux Windows][IBM i]Beispiel: Wenn der Active-Directory-Administrator auf Windows-Systemen in der Systemsteuerungsanzeige "Active Directory Users and Computers" im Ordner "Users" einen Account erstellt und die DNS-Domäne ibm.com ist, hat der definierte Name die folgende Struktur:
    cn=<Benutzername_des_Administrators>, cn=users, dc=ibm,
    dc=com 
  2. Ermitteln Sie den Kurznamen und das Kennwort eines Accounts in Microsoft Active Directory.
  3. Konfigurieren Sie mit der WebSphere Application Server-Administrationskonsole die erforderlichen Informationen für Microsoft Active Directory.
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Klicken Sie unter "Repository für Benutzeraccounts" auf Eigenständige LDAP-Registry und anschließend auf Konfigurieren.
    3. Konfigurieren Sie LDAP mit Active Directory als Typ des LDAP-Servers. Basierend auf den Informationen, die in den vorherigen Schritten bestimmt wurden, können Sie die folgenden Einstellungen in der Anzeige "LDAP-Einstellungen" angeben:
      Name des primären Benutzers mit Verwaltungsaufgaben
      Gibt den Namen eines Benutzers mit Verwaltungsberechtigungen an, der in der Registry definiert ist. Dieser Benutzername wird für den Zugriff auf die Administrationskonsole oder von wsadmin verwendet.
      Typ
      Geben Sie Active Directory an.
      Host
      Geben Sie den DNS-Namen (Domänennamensservice) der Maschine an, auf der Microsoft Active Directory ausgeführt wird.
      Basis-DN
      Geben Sie die Domänenkomponenten des DN des Accounts an, den Sie im ersten Schritt ausgewählt haben. Beispiel: dc=ibm, dc=com
      Definierter Name für Bindung
      Geben Sie den vollständig definierten Namen des Accounts an, den Sie im ersten Schritt ausgewählt haben. Beispiel: cn=adminUsername, cn=users, dc=ibm, dc=com
      Kennwort für Bindung
      Geben Sie das Kennwort des Accounts an, den Sie im ersten Schritt ausgewählt haben.
    4. Klicken Sie auf OK und Speichern, um die Änderungen in der Masterkonfiguration zu speichern.
  4. Klicken Sie auf Sicherheit > Globale Sicherheit.
  5. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen. Wählen Sie Eigenständige LDAP-Registry aus, und klicken Sie auf Konfigurieren.
  6. Wählen Sie die Option Automatisch generierte Server-ID oder die Option Im Repository gespeicherte Server-ID aus. Wenn Sie die Option Im Repository gespeicherte Server-ID auswählen, geben Sie die folgenden Informationen ein:
    Serverbenutzer-ID oder Benutzer mit Verwaltungsaufgaben auf einem Knoten der Version 6.0.x
    Geben Sie den Kurznamen des Accounts an, den Sie im zweiten Schritt ausgewählt haben.
    Benutzerkennwort des Servers
    Geben Sie das Kennwort des Accounts an, den Sie im zweiten Schritt ausgewählt haben.
  7. Optional: Setzen Sie im Feld "Zuordnung von Gruppenmember-IDs" den Wert ObjectCategory als Filter, um die LDAP-Leistung zu verbessern.
    1. Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzerregistry.
    2. Fügen Sie am Ende des Feldes "Zuordnung von Gruppenmember-IDs" die Angabe ;objectCategory:group hinzu.
  8. Klicken Sie auf OK und Speichern, um die Änderungen in der Masterkonfiguration zu speichern.
  9. Stoppen Sie den Administrationsserver, und starten Sie ihn anschließend erneut, damit die Änderungen wirksam werden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tmsad
Dateiname:tsec_tmsad.html