Erweiterte Einstellungen für LDAP-Benutzerregistry
Verwenden Sie diese Seite, um die erweiterten Einstellungen für eine LDAP-Benutzerregistry (Lightweight Directory Access Protocol) zu konfigurieren, wenn Benutzer und Gruppen in einem externen LDAP-Verzeichnis angelegt sind.
- Klicken Sie auf .
- Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen. Wählen Sie Eigenständige LDAP-Registry aus und klicken Sie auf Konfigurieren.
- Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzerregistry.
In den entsprechenden Feldern sind bereits Standardwerte für alle Benutzer- und Gruppenfilter eingetragen. Sie können diese Werte wie gewünscht anpassen. Diese Standardwerte basieren auf dem Typ des LDAP-Servers, der in der Anzeige "Eigenständige LDAP-Registry" ausgewählt wurde. Wird dieser Typ geändert, z. B. von Netscape in Secureway, werden die Standardfilter automatisch geändert. Wenn die Standardfilterwerte geändert werden, wird der Typ des LDAP-Servers in Angepasst geändert. Dadurch wird angezeigt, dass angepasste Filter verwendet werden. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaften geändert wird, müssen Sie in die Anzeige "Globale Sicherheit" wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.
Es wird empfohlen, eine Migration von eigenständigen LDAP-Registrys auf eingebundene Repositorys durchzuführen. Wenn Sie ein Upgrade auf WebSphere Portal 6.1 und/oder ein Upgrade auf WebSphere Process Server 6.1 und höher durchführen, müssen Sie die Migration auf eingebundene Repositorys vor diesen Upgrades durchführen. Weitere Informationen zu eingebundenen Repositorys und deren Leistungsspektrum finden Sie im Artikel "Eingebundene Repositorys". Weitere Informationen zur Migration auf eingebundene Repositorys finden Sie im Artikel "Eigenständiges LDAP-Repository auf eine LDAP-Repository-Konfiguration mit eingebundenen Repositorys migrieren".
Benutzerfilter
Gibt den LDAP-Benutzerfilter an, der die Benutzerregistry nach Benutzern durchsucht.
Diese Option wird in der Regel für die Zuordnung von Sicherheitsrollen zu Benutzern verwendet und gibt die Eigenschaft an, nach der Benutzer im Verzeichnisservice gesucht werden. Wenn Sie beispielsweise Benutzer nach Ihren Benutzer-IDs suchen möchten, geben Sie (&(uid=%v)(objectclass=inetOrgPerson)) an. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.
Information | Wert |
---|---|
Datentyp | String |
Gruppenfilter
Gibt den LDAP-Gruppenfilter an, der die Benutzerregistry nach Gruppen durchsucht.
Diese Option wird in der Regel für die Zuordnung von Sicherheitsrollen zu Gruppen verwendet und gibt die Eigenschaft an, nach der Gruppen im Verzeichnisservice gesucht werden. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.
Information | Wert |
---|---|
Datentyp | String |
Zuordnung von Benutzer-IDs
Gibt den LDAP-Filter an, der den Kurznamen eines Benutzers einem LDAP-Eintrag zuordnet.
Gibt das Datensegment an, das bei der Darstellung von Benutzern angezeigt werden soll. Wenn beispielsweise Einträge des Typs object class = inetOrgPerson nach ihren IDs angezeigt werden sollen, müssen Sie inetOrgPerson:uid angeben. In diesem Feld können mehrere Paare aus Objektklassen und Eigenschaften (objectclass:property), jeweil durch ein Semikolon (;) voneinander getrennt, angegeben werden.
Information | Wert |
---|---|
Datentyp | String |
Zuordnung von Gruppen-IDs
Gibt den LDAP-Filter an, der den Kurznamen einer Gruppe einem LDAP-Eintrag zuordnet.
Gibt das Datensegment an, das bei der Darstellung von Gruppen angezeigt werden soll. Geben Sie z. B. *:cn an, um Gruppen nach ihren Namen anzuzeigen. Das Zeichen * ist ein Platzhalterzeichen, mit dem nach allen Objektklassen in dieser Schreibweise gesucht wird. In diesem Feld können mehrere Paare aus Objektklassen und Eigenschaften (objectclass:property), jeweil durch ein Semikolon (;) voneinander getrennt, angegeben werden.
Information | Wert |
---|---|
Datentyp | String |
Zuordnung von Gruppenmember-IDs
Gibt den LDAP-Filter für die Benutzer/Gruppen-Zugehörigkeiten an.
Für Verzeichnisserverprodukte wie SecureWay und Domino können in diesem Feld mehrere Paare vom Typ "Objektklasse:Eigenschaft" angegeben werden. Die Angaben müssen durch ein Semikolon voneinander getrennt werden. Im objectclass:property-Paar ist die Objektklasse (objectclass) dieselbe Objektklasse, die im Gruppenfilter definiert ist, und die Eigenschaft (property) gibt das Memberattribut an. Stimmt die Objektklasse nicht mit der Objektklasse im Gruppenfilter überein, kann die Berechtigung fehlschlagen, wenn Gruppen Sicherheitsrollen zugeordnet sind. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zum LDAP-Verzeichnisservice.
Für IBM® Directory Server, Sun ONE und Active Directory werden in diesem Feld mehrere Gruppenattribut:Memberattribut-Paare durch Semikolons (;) voneinander getrennt akzeptiert. Diese Wertpaare werden verwendet, um die Gruppenzugehörigkeit eines Benutzers zu ermitteln. Dazu werden alle Gruppenattribute eines bestimmten Benutzers aufgezählt. Das Attributpaar memberof:member wird beispielsweise von Active Directory und ibm-allGroup:member von IBM Directory Server verwendet. Dieses Feld gibt auch an, unter welcher Eigenschaft einer Objektklasse sich die Liste von Membern der Gruppe befindet, die durch die Objektklasse angegeben wird. Informationen zu unterstützten DALDAP-Verzeichnisservern finden Sie unter Unterstützte Verzeichnisservices.
Information | Wert |
---|---|
Datentyp | String |
Verschachtelte Gruppen durchsuchen
Gibt an, ob verschachtelte Gruppen rekursiv durchsucht werden sollen.
- IBM Directory Server wird von der Sicherheit des Anwendungsservers vorkonfiguriert, um die Gruppenzugehörigkeiten eines Benutzers mit dem Attribut ibm-allGroup rekursiv zu berechnen.
- Der Verzeichnisserver SunONE ist so vorkonfiguriert, dass die Zugehörigkeiten zu verschachtelten Gruppen mit dem Attribut nsRole berechnet wird.
Information | Wert |
---|---|
Datentyp | String |
Kerberos-Benutzerfilter
Gibt den Wert für den Kerberos-Benutzerfilter an. Dieser Wert kann geändert werden, wenn Kerberos als eines der bevorzugten Authentifizierungsverfahren konfiguriert und aktiv ist.
Information | Wert |
---|---|
Datentyp | String |
Modus für Zertifikatszuordnung
Gibt an, ob X.509-Zertifikate mit EXACT_DN oder CERTIFICATE_FILTER dem LDAP-Verzeichnis zugeordnet werden sollen. Geben Sie CERTIFICATE_FILTER an, um den angegebenen Zertifikatsfilter für die Zuordnung zu verwenden.
Information | Wert |
---|---|
Datentyp | String |
Zertifikatsfilter
Gibt die Zertifikatszuordnungseigenschaft für den LDAP-Filter an. Der Filter wird verwendet, um Attribut im Clientzertifikat den Einträgen in der LDAP-Registry zuzuordnen.
- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
<xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Ausstellers darstellen. Als allgemeinen Namen des Ausstellers könnten Sie beispielsweise ${IssuerCN} verwenden.
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
<xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Subjekts darstellen. Als allgemeinen Subject-Namen könnten Sie beispielsweise ${SubjectCN} verwenden.
- ${Version}

Information | Wert |
---|---|
Datentyp | String |