Einstellungen für Konfiguration des LDAP-Repository

Verwenden Sie diese Seite, um den sicheren Zugriff auf ein LDAP-Repository mit optionalen Failover-Servern zu konfigurieren.

Führen Sie zum Anzeigen dieser Seite der Administrationskonsole die folgenden Schritte aus:
  1. Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit.
  2. Wählen Sie unter "Repository für Benutzeraccounts" im Feld "Verfügbare Realmdefinitionen" die Option Eingebundene Repositorys aus, und klicken Sie auf Konfigurieren. Wenn Sie eine bestimmte Domäne in einer Umgebung mit mehreren Sicherheitsdomänen konfigurieren möchten, klicken Sie auf Sicherheitsdomänen > Domänenname. Erweitern Sie unter "Sicherheitsattribute" den Eintrag "Benutzerrealm", und klicken Sie auf Für diese Domäne anpassen. Wählen Sie den Realmtyp Eingebundene Repositorys aus, und klicken Sie dann auf Konfigurieren.
  3. Klicken Sie unter "Zugehörige Elemente" auf Repositorys verwalten.
  4. Klicken Sie auf Hinzufügen, um ein neues externes Repository anzugeben, oder wählen Sie ein bereits vorkonfiguriertes externes Repository aus.

Wenn Sie mit dem Hinzufügen bzw. Aktualisieren der Konfiguration Ihres eingebundenen Repositorys fertig sind, rufen Sie die Anzeige Sicherheit > Globale Sicherheit auf, und klicken Sie anschließend auf Anwenden, um die Änderungen zu validieren.

Repository-ID

Gibt eine eindeutige ID für das LDAP-Repository an. Diese ID bezeichnet das Repository innerhalb der Zelle eindeutig, z. B. LDAP1.

Verzeichnistyp

Gibt den typ des LDAP-Servers an, zu dem Sie die Verbindung herstellen.

Erweitern Sie die Dropdown-Liste, um eine Liste der LDAP-Verzeichnistypen anzuzeigen.

Name des primären Hosts

Gibt den Hostnamen des primären LDAP-Servers an. Dieser Hostname kann eine ID-Adresse oder ein DNS-Name sein.

Port

Gibt den Port des LDAP-Servers an.

Der Standardwert ist 389 und gilt nicht für einen SSL-Verbindung (Secure Sockets Layer). Verwenden Sie Port 636 für eine SSL-Verbindung. Bei einigen LDAP-Servern können Sie für SSL- und andere Verbindungen einen anderen Port angeben. Wenn Sie den zu verwendenden Port nicht kennen, wenden Sie sich an den Administrator Ihres LDAP-Servers.

Information Wert
Datentyp Integer
Standardeinstellung 389
Einstellmöglichkeiten 389 für andere Verbindungen als SSL

636 für SSL-Verbindungen

Name des Failover-Hosts

Gibt den Hostnamen des Failover-LDAP-Servers an.

Sie können einen sekundären Verzeichnisserver angeben, der dann verwendet werden soll, wenn der primäre Verzeichnisserver ausfällt. Nach der Umstellung auf einen sekundären Verzeichnisserver versucht das LDAP-Repository im Abstand von 15 Minuten, erneut eine Verbindung zum primären Verzeichnisserver herzustellen.

Port

Gibt den Port des Failover-LDAP-Servers an.

Der Standardwert ist 389 und gilt nicht für einen SSL-Verbindung (Secure Sockets Layer). Verwenden Sie Port 636 für eine SSL-Verbindung. Bei einigen LDAP-Servern können Sie für SSL- und andere Verbindungen einen anderen Port angeben. Wenn Sie den zu verwendenden Port nicht kennen, wenden Sie sich an den Administrator Ihres LDAP-Servers.

Information Wert
Datentyp Integer
Einstellmöglichkeiten 389 für andere Verbindungen als SSL

636 für SSL-Verbindungen

Links zu anderen LDAP-Servern unterstützen

Gibt an, wie der LDAP-Server gefundene Bezugsdaten (Referrals) verarbeitet.

Bezugsdaten (Referral) sind eine Entität, die verwendet wird, um eine Clientanforderung an einen anderen LDAP-Server umzuleiten. Bezugsdaten enthalten die Namen und Positionen anderer Objekte. Sie werden von dem Server gesendet, um anzuzeigen, dass die Informationen, die der Client angefordert hat, an einer anderen Position, z. B. auf einem anderen Server oder mehreren anderen Servern, zu finden sind. Der Standardwert ist "Ignorieren".

Information Wert
Standardeinstellung Ignorieren
Einstellmöglichkeiten
Ignorieren
Bezugsdaten werden ignoriert.
Folgen
Bezugsdaten werden automatisch verfolgt.

Unterstützung für die Überwachung von Repositoryänderungen

Gibt den Typ der Unterstützung für die Überwachung von Repositoryänderungen an. Der Profilmanager bezieht sich auf diesen Wert, bevor er die Anforderung an den entsprechenden Adapter weiterleitet. Wenn der Wert Ohne lautet, wird dieses Repository nicht zum Abrufen der geänderten Entitäten aufgerufen.

Ohne
Gibt an, dass die Überwachung von Änderungen für dieses Repository nicht unterstützt wird.
Nativ
Gibt an, dass das native Änderungsüberwachungsverfahren des Repositorys vom Virtual Member Manager verwendet wird, um geänderte Entitäten zurückzugeben.

Angepasste Eigenschaft

Gibt beliebige Name/Wert-Datenpaare an. Der Name steht für einen Eigenschaftsschlüssel und Wert für einen Zeichenfolgewert, mit dem Eigenschaften für die interne Systemkonfiguration definiert werden können.

Durch die Definition neuer Eigenschaften können Sie Einstellungen konfigurieren, die nicht in der Administrationskonsole verfügbar sind.

Definierter Name für Bindung

Gibt den DN, den der Anwendungsserver für die Bindung an das LDAP-Repository verwenden soll.

Falls keine Name angegeben wird, stellt der Anwendungsserver die Bindung anonym her. In den meisten Fällen sind der Bind-DN und das Bind-Kennwort erforderlich. Wenn mit anonymem Bind jedoch alle erforderlichen Funktionen abgedeckt werden, sind kein Bind-DN und kein Bind-Kennwort erforderlich.

Kennwort für Bindung

Gibt das Kennwort an, das der Anwendungsserver für die Bindung an das LDAP-Repository verwenden soll.

Anmeldeeigenschaften

Gibt die Namen der Eigenschaften an, die für die Anmeldung am Anwendungsserver verwendet werden.

In diesem Feld können mehrere Anmeldeeigenschaften angegeben werden. Beispiel: uid;mail. Alle Anmeldeeigenschaften werden während der Anmeldung gesucht. Wenn mehrere oder keine Einträge gefunden werden, wird eine Ausnahme ausgelöst. Wenn Sie beispielsweise die Anmeldeeigenschaften uid;mail und die Anmelde-ID Bob angeben, sucht der Suchfilter nach uid=Bob oder mail=Bob. Wenn die Suche einen einzelnen Eintrag zurückgibt, kann die Authentifizierung fortgesetzt werden. Andernfalls wird eine Ausnahme ausgelöst.

Unterstützte Konfigurationen Unterstützte Konfigurationen: Wenn Sie mehrere Anmeldeeigenschaften definieren, wird die erste Anmeldeeigenschaft über das Programm der Eigenschaft "principalName" für eingebundene Repositorys zugeordnet. Wenn Sie beispielsweise uid;mail als Anmeldeeigenschaften festlegen, wird der Wert "uid" des LDAP-Attributs der Eigenschaft "principalName" für eingebundene Repositorys zugeordnet. Wenn Sie mehrere Anmeldeeigenschaften definieren, wird nach der Anmeldung die erste Anmeldeeigenschaft als Wert der Eigenschaft "principalName" zurückgegeben. Wenn Sie beispielsweise joe@yourco.com als Wert für principalName übergeben und die Anmeldeeigenschaften mit dem Wert "uid;mail" konfiguriert werden, wird der principalName-Wert "joe" zurückgegeben.sptcfg

LDAP-Attribut für Kerberos-Principal-Namen

Gibt das LDAP-Attribut für den Kerberos-Principal-Namen an. Dieses Feld kann geändert werden, wenn Kerberos konfiguriert und eines der aktiven oder bevorzugten Authentifizierungsverfahren ist.

Zertifikatszuordnung

Gibt an, ob X.509-Zertifikate einem LDAP-Verzeichnis mit EXACT_DN oder CERTIFICATE_FILTER zugeordnet werden. Geben Sie CERTIFICATE_FILTER an, um den angegebenen Zertifikatfilter für die Zuordnung zu verwenden.

Zertifikatsfilter

Gibt die Zertifikatszuordnungseigenschaft für den LDAP-Filter an. Der Filter wird verwendet, um Attribut im Clientzertifikat den Einträgen im LDAP-Repository zuzuordnen.

Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Der Filter hat die folgende Syntax bzw. Struktur:

LDAP-Attribut=${Clientzertifikatsattribut}

Ein Beispiel für einen einfachen Zertifikatsfilter ist uid=${SubjectCN}.

Sie können auch mehrere Eigenschaften und Werte als Teil des Zertifikatsfilters angeben. Es folgen zwei Beispiele für komplexe Zertifikatsfilter:

(&(cn=${IssuerCN}) (employeeNumber=${SerialNumber})

(& (issuer=${IssuerDN}) (serial=${SerialNumber}) (subjectdn=${SubjectDN}))

Die linke Seite der Filterspezifikation ist ein LDAP-Attribut, das von dem Schema abhängig ist, für das Ihr LDAP-Server konfiguriert ist. Die rechte Seite der Filterspezifikation ist eines der allgemeinen Attribute im Clientzertifikat. Sie können auch die Zertifikatsvariable UniqueKey verwenden, die sich aus der Base64-Codierung des MD5-Hashwerts des registrierten Name des Zertifikatsinhabers (Subject-DN) und dem registrierten Name des Zertifikatsausstellers (Issuer-DN) zusammensetzt. Die rechte Seite muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ({) beginnen und mit einer rechten geschweiften Klammer (}) enden. Die folgenden Zertifikatsattributwerte können auf der rechten Seite der Filterspezifikation verwendet werden. Die Groß-/Kleinschreibung der Zeichenfolgen muss beachtet werden:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuerxx}. Hier steht xx für die Zeichen, die einen gültigen Abschnitt des definierten Ausstellernamens repräsentieren. Als allgemeinen Namen des Ausstellers könnten Sie beispielsweise ${IssuerCN} verwenden.
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subjectxx}. Hier steht xx für die Zeichen, die einen gültigen Abschnitt des Subject-DN repräsentieren. Als allgemeinen Subject-Namen könnten Sie beispielsweise ${SubjectCN} verwenden.
  • ${Version}

SSL-Kommunikation erforderlich

Gibt an, ob die SSL-Übertragung für den LDAP-Server aktiviert ist.

Bei Aktivierung werden die angegebenen SSL-Einstellungen für LDAP verwendet.

Zentral verwaltet

Gibt an, dass die Auswahl einer SSL-Konfiguration (Secure Sockets Layer) auf der Ansicht der abgehenden Topologie für die JNDI-Plattform (Java Naming and Directory Interface) basiert.

Zentral verwaltete Konfigurationen unterstützen eine Position für die Verwaltung von SSL-Konfigurationen, d. h. die Konfigurationen müssen nicht auf die Konfigurationsdokumente verteilt werden.

Information Wert
Standardeinstellung Aktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert

Speziellen SSL-Alias verwenden

Gibt den SSL-Konfigurationsalias an, der für abgehende SSL-Kommunikation über LDAP verwendet werden soll.

Diese Option überschreibt die zentral verwaltete Konfiguration für die JNDI-Plattform.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwim_ldapreposettings
Dateiname:uwim_ldapreposettings.html