Eigenständige LDAP-Registrys
Eine eigenständige LDAP-Registry (Lightweight Directory Access Protocol) führt die Authentifizierung mittels einer LDAP-Bindung aus.
Die Sicherheit von WebSphere Application Server bietet und unterstützt eine Implementierung der meisten bekannten LDAP-Verzeichnisserver, die als Repository für Benutzer- und Gruppeninformationen verwendet werden können. Diese LDAP-Server werden von den Produktprozessen aufgerufen, um Benutzer zu authentifizieren und andere sicherheitsbezogene Aufgaben auszuführen. Server werden beispielsweise verwendet, um Benutzer- oder Gruppeninformationen abzurufen. Diese Unterstützung erfolgt mithilfe verschiedener Benutzer- und Gruppenfilter, über die Benutzer- und Gruppeninformationen abgerufen werden. Diese Filter haben Standardwerte, die Sie an Ihre Anforderungen anpassen können. Die angepasste LDAP-Funktion ermöglicht außerdem die Verwendung eines anderen LDAP-Servers, der nicht auf der Liste der vom Produkt unterstützten LDAP-Server steht, als Benutzerregistry durch Einsatz des geeigneten Filters.
Es wird empfohlen, eine Migration von eigenständigen LDAP-Registrys auf eingebundene Repositorys durchzuführen. Wenn Sie ein Upgrade auf WebSphere Portal 6.1 und/oder ein Upgrade auf WebSphere Process Server 6.1 und höher durchführen, müssen Sie die Migration auf eingebundene Repositorys vor diesen Upgrades durchführen. Weitere Informationen zu eingebundenen Repositorys und deren Leistungsspektrum finden Sie im Artikel "Eingebundene Repositorys". Weitere Informationen zur Migration auf eingebundene Repositorys finden Sie im Artikel "Eigenständiges LDAP-Repository auf eine LDAP-Repository-Konfiguration mit eingebundenen Repositorys migrieren".
Um LDAP als Benutzerregistry zu verwenden, müssen Sie den Namen eines Benutzers mit Verwaltungsaufgaben, den Serverhost und -Port, den Basis-DN und gegebenenfalls den BIND-DN und das BIND-Kennwort kennen. Sie können jeden gültigen Benutzer in der Registry auswählen, der gesucht werden kann und Verwaltungsberechtigungen hat. In einigen LDAP-Servern können Benutzer mit Verwaltungsaufgaben nicht gesucht und verwendet werden, z. B. cn=root in SecureWay. Dieser Benutzer wird in der Dokumentation als Sicherheitsserver-ID, Server-ID oder Serverbenutzer-ID von WebSphere Application Server bezeichnet. Ein Benutzer, der eine Server-ID ist, erhält Sonderberechtigungen beim Aufruf einiger geschützter interner Methoden. Normalerweise wird diese ID mit dem zugehörigen Kennwort verwendet, um sich nach Aktivierung der Sicherheit bei der Administrationskonsole anzumelden. Sie können für die Anmeldung auch andere Benutzer verwenden, sofern diese einer Administrationsrolle zugeordnet sind.
Bei aktivierter Produktsicherheit werden der Name des primären Benutzers mit Verwaltungsaufgaben und das Kennwort beim Starten des Produkts anhand der Registry authentifiziert. Scheitert die Authentifizierung, kann der Server nicht gestartet werden. Die ausgewählte ID und das zugehörige Kennwort sollten kein Verfallsdatum haben und nicht häufig geändert werden. Wenn die Benutzer-ID für den Produktserver oder das zugehörige Kennwort in der Registry geändert werden muss, stellen Sie sicher, dass alle Produktserver gestartet und aktiv sind, während die Änderung vorgenommen wird.
Sobald die Änderungen in der Registry vorgenommen werden, führen Sie die im Artikel LDAP-Benutzerregistrys konfigurieren beschriebenen Schritte aus. Ändern Sie die ID, das Kennwort und andere Konfigurationsdaten, und speichern Sie dann die Daten. Stoppen Sie alle Server, und starten Sie sie anschließend erneut, damit die neue ID oder das neue Kennwort vom Produkt verwendet wird. Sollten beim Starten des Produkts Fehler auftreten, wenn die Sicherheit aktiviert ist, inaktivieren Sie die Sicherheit, damit der Server gestartet werden kann. Sie können diesen Schritt vermeiden, wenn die Änderungen in der Anzeige "Globale Sicherheit" validiert werden. Sobald der Server gestartet ist, können Sie die ID, das Kennwort und andere Konfigurationsdaten ändern und dann die Sicherheit aktivieren.
Über eine angepasste LDAP-Funktion können Sie auch jeden beliebigen LDAP-Server verwenden, indem Sie die richtige Konfiguration einrichten. Allerdings sind diese angepassten LDAP-Server nicht in die Unterstützung eingeschlossen, weil es zu viele Konfigurationsvarianten gibt.
Anhand der Informationen zur Zuordnung von Benutzern und Gruppen zu Sicherheitsrollen trifft die konfigurierte Engine für Autorisierung Entscheidungen hinsichtlich der Zugriffssteuerung.
![[z/OS]](../images/ngzos.gif)
- SAF-Berechtigung (System Authorization Facility) mit EJBROLE- oder GEJBROLE-Profilen. SAF setzt alle anderen Berechtigungsverfahren außer Kraft.
- Tivoli Access Manager als JACC-Provider (Java™ Authorization Contract for Containers). Weitere Informationen hierzu finden Sie im Artikel Integration von Tivoli Access Manager als JACC-Provider.
- Bindungen von Benutzern an Rollen, die vom Anwendungsassemblierer oder vom Sicherheitsadministrator von WebSphere Application Server erstellt werden.
![[z/OS]](../images/ngzos.gif)
- Alle anderen Berechtigungsoptionen werden außer Kraft gesetzt, z. B. Tivoli Access Manager.
- Sie müssen ein Zuordnungsmodul für JAAS-Anmeldung (Java Authentication and Authorization Service) konfigurieren und installieren, das eine LDAP-Identität oder eine Identität einer angepassten Registry einer SAF-Benutzer-ID zuordnet. Weitere Informationen hierzu finden Sie im Artikel Eigenes SAF-Zuordnungsmodul für WebSphere Application Server installieren und konfigurieren.