Unterstützung dynamischer und verschachtelter Gruppen für LDAP

Dynamische und verschachtelte Gruppen vereinfachen die Sicherheitsverwaltung von WebSphere Application Server und erhöhen dessen Effizienz und Flexibilität.

Dynamische Gruppen enthalten die Kriterien Gruppenname und Zugehörigkeit:
  • Die Information zur Gruppenzugehörigkeit hat denselben Aktualitätsstand wie die Information zum Benutzerobjekt.
  • Es ist nicht erforderlich, die Mitglieder des Gruppenobjekts manuell zu verwalten.
  • Dynamische Gruppen sind so definiert, dass eine Anwendung keine große Menge an Informationen aus dem Verzeichnis abrufen muss, um festzustellen, ob ein Benutzer Mitglied einer Gruppe ist.

Mit Hilfe von verschachtelten Gruppen können hierarchische Beziehungen aufgebaut werden, mit denen übernommene Gruppenzugehörigkeiten festgelegt werden. Eine verschachtelte Gruppe ist als untergeordneter Gruppeneintrag definiert, dessen definierter Name (Distinguished Name, DN) durch das Attribut eines übergeordneten Gruppeneintrags angegeben wird.

Sie müssen nur dann eine größere übergeordnete Gruppe zuordnen, wenn alle verschachtelten Gruppen dieselben Zugriffsrechte haben. Indem einer einzelnen übergeordneten Gruppe eine Rolle zugeordnet wird, wird die Laufzeitberechtigungstabelle vereinfacht.

Unterstützung für dynamische und verschachtelte Gruppen für IBM Tivoli Directory Server

WebSphere Application Server unterstützt alle dynamischen und verschachtelten Gruppen, wenn IBM® Tivoli Directory Server verwendet wird. This function is enabled by default by taking advantage of a new feature in IBM Tivoli Directory Server. IBM Tivoli Directory Server verwendet das Gruppenattribut für Vorverweise "ibm-allGroups", das automatisch alle Gruppenzugehörigkeiten (einschließlich dynamischer und rekursiver Zugehörigkeiten) für einen Benutzer berechnet. Die Sicherheitseinrichtung lokalisiert die Gruppenzugehörigkeit eines Benutzers direkt über ein Benutzerobjekt und durchsucht nicht indirekt alle Gruppen nach übereinstimmenden Gruppenmembern.

Weitere Informationen hierzu finden Sie im Artikel Unterstützung dynamischer und verschachtelter Gruppen für IBM Tivoli Directory Server konfigurieren.

[IBM i]Stellen Sie beim Erstellen von Gruppen sicher, dass die Zugehörigkeiten für verschachtelte und dynamische Gruppen ordnungsgemäß funktionieren.

Unterstützung für dynamische und verschachtelte Gruppen für den SunONE oder iPlanet Directory Server

Der SunONE oder iPlanet Directory Server verwendet zwei Methoden der Gruppierung:
Gruppen
Einträge, die andere Einträge in Form einer Liste von Membern oder als Filter für Member benennen.
Rollen
Einträge, die andere Einträge in Form einer Liste von Membern oder als Filter für Member benennen. Außerdem wird die Funktionalität erweitert, indem für jedes Member einer Rolle das Attribut nsrole generiert wird.
Es sind drei Arten von Rollen verfügbar:
Gefilterte Rollen
Richtet sich nach den Attributen, die in den einzelnen Einträgen enthalten sind. Die Einträge sind dann Member, wenn sie mit einem angegebenen LDAP-Filter übereinstimmen. Diese Rolle entspricht einer dynamischen Gruppe.
Verschachtelte Rollen
Erstellt Rollen, die andere Rollen enthalten. Diese Rolle entspricht einer verschachtelten Gruppe.
Verwaltete Rollen
Den Member-Einträgen wird explizit eine Rolle zugeordnet. Diese Rolle entspricht einer statischen Gruppe.

Weitere Informationen hierzu finden Sie im Artikel Unterstützung dynamischer und verschachtelter Gruppe für die Verzeichnisserver SunONE und iPlanet konfigurieren.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_dynamicnestedgroup
Dateiname:csec_dynamicnestedgroup.html