LDAP in einer Konfiguration für eingebundene Repositorys konfigurieren
Dieser Artikel beschreibt, wie Sie LDAP-Einstellungen (Lightweight Directory Access Protocol) in einer Konfiguration für eingebundene Repositorys konfigurieren.
Vorbereitende Schritte
- Ein einzelnes LDAP-Repository in einer neuen Konfiguration für eingebundene Repositorys konfigurieren
- Eine Konfiguration für eingebundene Repositorys so ändern, dass sie nur ein LDAP-Repository enthält
- Mehrere LDAP-Repositorys in einer Konfiguration für eingebundene Repositorys konfigurieren
- Ein einzelnes, integriertes dateibasiertes Repository und mindestens ein LDAP-Repositorys in einer Konfiguration für eingebundene Repositorys konfigurieren
- Repositorys in einer Konfiguration mit eingebundenen Repositorys verwalten
Informationen zu diesem Vorgang
Vorgehensweise
- Geben Sie im Feld "Repository-ID" eine eindeutige ID für das Repository ein. Diese ID bezeichnet das Repository innerhalb der Zelle eindeutig, z. B. LDAP1.
- Wählen Sie in der Liste mit den Verzeichnistypen den Typ des zu verwendenden LDAP-Servers aus. Der LDAP-Servertyp bestimmt die Standardfilter, die von
WebSphere Application Server verwendet werden.
Benutzer von IBM® Tivoli Directory Server können zwischen den Verzeichnistypen IBM Tivoli Directory Server und SecureWay wählen. Verwenden Sie den Verzeichnistyp IBM Tivoli Directory Server, um eine bessere Leistung zu erzielen. Eine Liste der unterstützten LDAP-Server finden Sie im Artikel Bestimmte Verzeichnisserver als LDAP-Server verwenden.
- Geben Sie im Feld Primärer Hostname den vollständig qualifizierten Hostnamen des primären LDAP-Servers ein. Sie können entweder die IP-Adresse oder den DNS-Namen (Domain Name System) eingeben.
- Geben Sie im Feld Port den Serverport des LDAP-Verzeichnisses ein. Der Hostname und die Portnummer stellen den Realm für diesen LDAP-Server in einer Zelle mit Knoten unterschiedlicher
Versionen dar.
Wenn Server in anderen
Zellen über LTPA-Token (Lightweight miteinander kommunizieren, müssen diese
Realms in
allen Zellen exakt übereinstimmen.
Der Standardwert ist 389 und gilt nicht für einen SSL-Verbindung (Secure Sockets Layer). Verwenden Sie Port 636 für eine SSL-Verbindung. Bei einigen LDAP-Servern können Sie für SSL- und andere Verbindungen einen anderen Port angeben. Wenn Sie den zu verwendenden Port nicht kennen, wenden Sie sich an den Administrator Ihres LDAP-Servers.
Wenn mehrere Instanzen von WebSphere Application Server installiert und für die Ausführung in derselben SSO-Domäne konfiguriert sind oder wenn WebSphere Application Server mit einer früheren Version von WebSphere Application Server integriert wird, muss die Portnummer in allen Konfigurationen unbedingt übereinstimmen. Angenommen, der LDAP-Port ist in einer Konfiguration der Version 5.x oder 6.0.x explizit mit 389 definiert und WebSphere Application Server der Version 6.1 wird mit dem Server der Version 5.x bzw. 6.0.x integriert. In diesem Fall müssen Sie sicherstellen, dass Port 389 für den Server der Version 6.1 explzit angegeben wird.
- Optional: Geben Sie im Feld "Hostname des Failover-Servers" den Hostnamen des Failover-LDAP-Servers ein. Sie können einen sekundären Verzeichnisserver angeben, der dann verwendet werden soll, wenn der primäre Verzeichnisserver ausfällt. Nach der Umstellung auf einen sekundären Verzeichnisserver versucht das LDAP-Repository im Abstand von 15 Minuten, erneut eine Verbindung zum primären Verzeichnisserver herzustellen.
- Optional: Geben Sie im Feld "Port" den Port für den LDAP-Failover-Server ein, und klicken Sie anschließend auf Hinzufügen. Der Standardwert ist 389 und gilt nicht für einen SSL-Verbindung (Secure Sockets Layer). Verwenden Sie Port 636 für eine SSL-Verbindung. Bei einigen LDAP-Servern können Sie für SSL- und andere Verbindungen einen anderen Port angeben. Wenn Sie den zu verwendenden Port nicht kennen, wenden Sie sich an den Administrator Ihres LDAP-Servers.
- Optional: Wählen Sie den Typ Bezugsdaten aus. Bezugsdaten (Referral) sind eine Entität, die verwendet wird, um eine Clientanforderung an einen anderen
LDAP-Server umzuleiten. Bezugsdaten enthalten die Namen und Positionen anderer Objekte.
Sie werden von dem Server gesendet, um anzuzeigen, dass die Informationen, die der Client angefordert hat, an einer anderen Position, z. B. auf einem anderen Server
oder mehreren anderen Servern, zu finden sind.
Der Standardwert ist "Ignorieren".
- Ignorieren
- Bezugsdaten werden ignoriert.
- Folgen
- Bezugsdaten werden automatisch verfolgt.
- Optional: Geben Sie den Typ der Unterstützung für die Überwachung von Repositoryänderungen an. Der Profilmanager bezieht sich auf diesen Wert, bevor er die Anforderung an den entsprechenden Adapter
weiterleitet. Wenn der Wert ohne lautet, wird dieses Repository nicht zum Abrufen der geänderten Entitäten aufgerufen.
- Ohne
- Gibt an, dass die Überwachung von Änderungen für dieses Repository nicht unterstützt wird.
- Nativ
- Gibt an, dass das native Änderungsüberwachungsverfahren des Repositorys vom Virtual Member Manager verwendet wird, um geänderte Entitäten zurückzugeben.
- Optional: Geben Sie ein beliebiges Name-Wert-Datenpaar als angepasste Eigenschaften an. Der Name steht für einen Eigenschaftsschlüssel und Wert für einen Zeichenfolgewert, mit dem Eigenschaften für die interne Systemkonfiguration definiert werden können. Durch die Definition neuer Eigenschaften können Sie Einstellungen konfigurieren, die nicht in der Administrationskonsole verfügbar sind.
- Optional: Geben Sie im Feld "Definierter Name für Bindung" den definierten Namen für die Bindung
ein z. B.
cn=root. Der Bind-DN muss angegeben werden, wenn Benutzer- und Gruppeninformationen vom LDAP-Server nicht mit
anonymen Bind-Operationen abgerufen werden können. Außerdem ist er für Schreiboperationen erforderlich. In den meisten Fällen sind
der Bind-DN und das Bind-Kennwort erforderlich.
Wenn mit anonymem Bind jedoch alle erforderlichen Funktionen abgedeckt werden, sind kein Bind-DN und kein Bind-Kennwort
erforderlich.
Sollte der LDAP-Server für anonyme
Bind-Operationen konfiguriert sein, lassen Sie dieses Feld leer. Falls keine Name
angegeben wird, stellt der Anwendungsserver die Bindung anonym her. Anmerkung: Zum Erstellen oder Suchen von LDAP-Abfragen muss ein LDAP-Client über den definierten Namen (DN) eines Accounts, der berechtigt ist, die von Application Server benötigten Werte von LDAP-Attributen, wie z. B. Benutzer- und Gruppeninformationen, zu suchen und zu lesen, eine Bindung zum LDAP-Server herstellen. Der LDAP-Administrator stellt sicher, dass für den Bind-DN Leseberechtigungen definiert sind. Die Leseberechtigungen ermöglichen den Zugriff auf die Unterverzeichnisstruktur und gewährleisten, dass die Suche von Benutzer- und Gruppeninformationen erfolgreich ist.
Der Verzeichnisserver stellt ein aktives Attribut in jedem Verzeichniseintrag bereit (IBM Directory Server verwendet beispielsweise ibm-entryUuid als aktives Attribut). Der Wert dieses Attributs ist eine UUID (Universally Unique Identifier, universell eindeutige ID), die der Verzeichnisserver automatisch beim Hinzufügen des Eintrags auswählt und die eindeutig sein muss, d. h., es darf keinen anderen Eintrag mit demselben oder einem anderen Namen diesen Wert besitzen. Verzeichnisclients können dieses Attribut verwenden, um Objekt, die mit einem definierten Namen angegeben werden, zu unterscheiden oder um ein Objekt nach einer Umbenennung suchen zu können. Stellen Sie sicher, dass die Bind-Berechtigungsnachweise die Berechtigung zum Lesen dieses Attributs enthalten.
- Optional: Geben Sie im Feld "BIND-Kennwort" das Kennwort für den Bind-DN ein.
- Optional: Geben Sie die Eigenschaftsnamen, die für die Anmeldung
bei WebSphere Application Server verwendet werden sollen, im Feld "Anmeldeeigenschaften" ein. In diesem Feld können mehrere Anmeldeeigenschaften angegeben werden. Beispiel: uid;mail. Anmerkung: Wenn Sie möchten, dass die Groß-/Kleinschreibung bei den Anmeldeattributen muss beachtet wird, muss attributeCache inaktiviert sein. Alternativ dazu können Sie auch Anmeldeeigenschaftsnamen auswählen, die nicht Teil des DN-Elements (Definierter Name) sind.
Alle Anmeldeeigenschaften werden während der Anmeldung gesucht. Wenn mehrere oder keine Einträge gefunden werden, wird eine Ausnahme ausgelöst. Wenn Sie beispielsweise die Anmeldeeigenschaften uid;mail und die Anmelde-ID Bob angeben, sucht der Suchfilter nach uid=Bob oder mail=Bob. Wenn die Suche einen einzelnen Eintrag zurückgibt, kann die Authentifizierung fortgesetzt werden. Andernfalls wird eine Ausnahme ausgelöst.
Unterstützte Konfigurationen: Wenn Sie mehrere Anmeldeeigenschaften definieren, wird die erste Anmeldeeigenschaft über das Programm der Eigenschaft "principalName" für eingebundene Repositorys zugeordnet. Wenn Sie beispielsweise uid;mail als Anmeldeeigenschaften festlegen, wird der Wert "uid" des LDAP-Attributs der Eigenschaft "principalName" für eingebundene Repositorys zugeordnet. Wenn Sie mehrere Anmeldeeigenschaften definieren, wird nach der Anmeldung die erste Anmeldeeigenschaft als Wert der Eigenschaft "principalName" zurückgegeben. Wenn Sie beispielsweise joe@yourco.com als Wert für principalName übergeben und die Anmeldeeigenschaften mit dem Wert "uid;mail" konfiguriert werden, wird der principalName-Wert "joe" zurückgegeben.sptcfg
- Optional: Geben Sie das LDAP-Attribut für den Kerberos-Principal-Namen an. Dieses Feld ist aktiviert und kann nur geändert werden, wenn Kerberos konfiguriert und eines der aktiven oder bevorzugten Authentifizierungsverfahren ist.
- Optional: Wählen Sie im Feld "Zertifikatzuordnung" den Zertifikatzuordnungsmodus aus. Wenn LDAP als Repository ausgewählt wird, können die X.590-Zertifikate für die Benutzerauthentifizierung verwendet werden. Im Feld "Zertifikatzuordnung" wird angegeben, ob die X.509-Zertifikate einem Benutzer des LDAP-Verzeichnisses mit EXACT_DN oder CERTIFICATE_FILTER zugeordnet werden. Bei Auswahl von EXACT_DN muss der DN im Zertifikat genau, auch hinsichtlich Groß-/Kleinschreibung und Leerzeichen, mit dem Benutzereintrag im LDAP-Server übereinstimmen.
- Wenn Sie im Feld "Zertifikatzuordnung" den Wert CERTIFICATE_FILTER auswählen, müssen Sie den
LDAP-Filter angeben, über den Attribute im Clientzertifikat Einträgen in LDAP zugeordnet werden sollen.
Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Der Filter hat die folgende Syntax bzw. Struktur:
LDAP-Attribut=${Clientzertifikatattribut}
Beispiel: uid=${SubjectCN}.
Die erste Seite der Filterspezifikation (LDAP attribute) ist ein LDAP-Attribut, das von dem Schema abhängig ist, für das Ihr LDAP-Server konfiguriert ist. Die andere Seite der Filterspezifikation (${Client certificate attribute}) ist eines der allgemeinen Attribute in Ihrem Clientzertifikat. Diese Seite muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ({) beginnen und mit einer rechten geschweiften Klammer (}) enden. Die folgenden Zertifikatattributwerte können auf dieser Seite der Filterspezifikation verwendet werden. Die Groß-/Kleinschreibung der Zeichenfolgen muss beachtet werden:- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
<xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Ausstellers darstellen. Als allgemeinen Namen des Ausstellers könnten Sie beispielsweise ${IssuerCN} verwenden.
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
<xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Subjects darstellen. Als allgemeinen Subject-Namen könnten Sie beispielsweise ${SubjectCN} verwenden.
- ${Version}
- Optional: Wählen Sie die Option SSL-Kommunikation erforderlich aus, wenn Sie mit dem LDAP-Server über SSL kommunizieren möchten. Wenn Sie die Option SSL-Kommunikation erforderlich verwenden, können Sie die Option Zentral verwaltet oder Speziellen SSL-Alias verwenden auswählen.
- Zentral verwaltet
- Wenn Sie diese Option auswählen, können Sie eine SSL-Konfiguration für einen bestimmten Geltungsbereich, z. B.
Zelle, Knoten, Server oder Cluster, in einer zentralen Position festlegen. Zur Verwendung der Option Zentral verwaltet
müssen Sie die SSL-Konfiguration für die jeweilige Gruppe von Endpunkten angeben.
In der Anzeige "Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten"
werden alle eingehenden und abgehenden Endpunkte angezeigt, die das Protokoll SSL verwenden.
Wenn Sie in dieser Anzeige den Abschnitt "Eingehend" oder "Abgehend" erweitern und auf den Namen eines Knotens klicken,
können Sie eine SSL-Konfiguration anzeigen, die für jeden Endpunkt auf diesem Knoten verwendet wird.
Für eine LDAP-Registry können Sie die geerbte
SSL-Konfiguration überschreiben, indem Sie eine SSL-Konfiguration für LDAP angeben. Führen Sie die folgenden Schritte aus,
um eine SSL-Konfiguration für LDAP anzugeben:
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten.
- Klicken Sie auf Abgehend > Zellenname > Knoten > Knotenname > Server > Servername > LDAP.
- Speziellen SSL-Alias verwenden
- Wählen Sie die Option Speziellen SSL-Alias verwenden nur aus, wenn Sie
eine der SSL-Konfigurationen im Menü unterhalb der Option auswählen möchten. Diese Konfiguration wird nur verwendet, wenn SSL für LDAP aktiviert ist. Die Standardeinstellung ist DefaultSSLSettings. Wenn Sie eine SSL-Konfiguration ändern oder eine neue erstellen möchten, führen Sie die folgenden Schritte aus:
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Konfigurationseinstellungen" auf Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten > Konfigurationsname.
- Klicken Sie unter "Zugehörige Elemente" auf SSL-Konfigurationen.
- Klicken Sie auf OK.
Ergebnisse
Nächste Schritte
- Ein einzelnes LDAP-Repository in einer neuen Konfiguration für eingebundene Repositorys konfigurieren
- Eine Konfiguration für eingebundene Repositorys so ändern, dass sie nur ein LDAP-Repository enthält
- Mehrere LDAP-Repositorys in einer Konfiguration für eingebundene Repositorys konfigurieren
- Ein einzelnes, integriertes dateibasiertes Repository und mindestens ein LDAP-Repositorys in einer Konfiguration für eingebundene Repositorys konfigurieren
- Repositorys in einer Konfiguration mit eingebundenen Repositorys verwalten
Unterartikel
Einstellungen für Konfiguration des LDAP-Repository
Verwenden Sie diese Seite, um den sicheren Zugriff auf ein LDAP-Repository mit optionalen Failover-Servern zu konfigurieren.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
Dateiname:twim_ldap_settings.html