Erweiterte Einstellungen für LDAP-Benutzerregistry

Verwenden Sie diese Seite, um die erweiterten Einstellungen für eine LDAP-Benutzerregistry (Lightweight Directory Access Protocol) zu konfigurieren, wenn Benutzer und Gruppen in einem externen LDAP-Verzeichnis angelegt sind.

Führen Sie zum Anzeigen dieser Seite der Administrationskonsole die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen. Wählen Sie Eigenständige LDAP-Registry aus und klicken Sie auf Konfigurieren.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzerregistry.

In den entsprechenden Feldern sind bereits Standardwerte für alle Benutzer- und Gruppenfilter eingetragen. Sie können diese Werte wie gewünscht anpassen. Diese Standardwerte basieren auf dem Typ des LDAP-Servers, der in der Anzeige "Eigenständige LDAP-Registry" ausgewählt wurde. Wird dieser Typ geändert, z. B. von Netscape in Secureway, werden die Standardfilter automatisch geändert. Wenn die Standardfilterwerte geändert werden, wird der Typ des LDAP-Servers in Angepasst geändert. Dadurch wird angezeigt, dass angepasste Filter verwendet werden. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaften geändert wird, müssen Sie in die Anzeige "Globale Sicherheit" wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.

Anmerkung: Bei der Erstellung des Anfangsprofils wird die Option "Eingebundene Repositorys" mit der dateibasierten Registry als Sicherheitsregistry-Option in WebSphere Application Server konfiguriert. Die Optionen in dieser Sicherheitsregistry-Konfiguration können geändert werden. Es kann beispielsweise die eigenständige LDAP-Registry verwendet werden. Anstatt die Option "Eingebundene Repositorys" in der Konfiguration des Repositorys für Benutzeraccounts jedoch in die Option "Eigenständige LDAP-Registry" zu ändern, sollten Sie die Verwendung der Option "Eingebundene Repositorys" in Erwägung ziehen, da diese Option die LDAP-Konfiguration unterstützt. Eingebundene Repositorys bieten ein breites Leistungsspektrum. Sie unterstützen beispielsweise die Verwendung einer oder mehrerer Benutzerregistrys. Außerdem unterstützen sie die Einbindung eines oder mehrerer LDAP-Verzeichnisse zusätzlich zu dateibasierten und angepassten Registrys. Eingebundene Repositorys bieten darüber hinaus verbesserte Failovermöglichkeiten und zuverlässige Funktionen für die Verwaltung von Membern (Benutzer und Gruppe). Eingebundene Repositorys sind erforderlich, wenn Sie die neuen Funktionen für die Verwaltung von Membern in WebSphere Portal Version 6.1 und höher und Process Server Version 6.1 und höher verwenden. Die Verwendung eingebundener Repositorys ist für die folgenden LDAP-Verweise erforderlich, die eine allgemeine Voraussetzung in einigen LDAP-Serverumgebungen (wie Microsoft Active Directory) sind.

Es wird empfohlen, eine Migration von eigenständigen LDAP-Registrys auf eingebundene Repositorys durchzuführen. Wenn Sie ein Upgrade auf WebSphere Portal 6.1 und/oder ein Upgrade auf WebSphere Process Server 6.1 und höher durchführen, müssen Sie die Migration auf eingebundene Repositorys vor diesen Upgrades durchführen. Weitere Informationen zu eingebundenen Repositorys und deren Leistungsspektrum finden Sie im Artikel "Eingebundene Repositorys". Weitere Informationen zur Migration auf eingebundene Repositorys finden Sie im Artikel "Eigenständiges LDAP-Repository auf eine LDAP-Repository-Konfiguration mit eingebundenen Repositorys migrieren".

Benutzerfilter

Gibt den LDAP-Benutzerfilter an, der die Benutzerregistry nach Benutzern durchsucht.

Diese Option wird in der Regel für die Zuordnung von Sicherheitsrollen zu Benutzern verwendet und gibt die Eigenschaft an, nach der Benutzer im Verzeichnisservice gesucht werden. Wenn Sie beispielsweise Benutzer nach Ihren Benutzer-IDs suchen möchten, geben Sie (&(uid=%v)(objectclass=inetOrgPerson)) an. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.

Information Wert
Datentyp String

Gruppenfilter

Gibt den LDAP-Gruppenfilter an, der die Benutzerregistry nach Gruppen durchsucht.

Diese Option wird in der Regel für die Zuordnung von Sicherheitsrollen zu Gruppen verwendet und gibt die Eigenschaft an, nach der Gruppen im Verzeichnisservice gesucht werden. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zu LDAP-Verzeichnisservices.

Information Wert
Datentyp String

Zuordnung von Benutzer-IDs

Gibt den LDAP-Filter an, der den Kurznamen eines Benutzers einem LDAP-Eintrag zuordnet.

Gibt das Datensegment an, das bei der Darstellung von Benutzern angezeigt werden soll. Wenn beispielsweise Einträge des Typs object class = inetOrgPerson nach ihren IDs angezeigt werden sollen, müssen Sie inetOrgPerson:uid angeben. In diesem Feld können mehrere Paare aus Objektklassen und Eigenschaften (objectclass:property), jeweil durch ein Semikolon (;) voneinander getrennt, angegeben werden.

Information Wert
Datentyp String

Zuordnung von Gruppen-IDs

Gibt den LDAP-Filter an, der den Kurznamen einer Gruppe einem LDAP-Eintrag zuordnet.

Gibt das Datensegment an, das bei der Darstellung von Gruppen angezeigt werden soll. Geben Sie z. B. *:cn an, um Gruppen nach ihren Namen anzuzeigen. Das Zeichen * ist ein Platzhalterzeichen, mit dem nach allen Objektklassen in dieser Schreibweise gesucht wird. In diesem Feld können mehrere Paare aus Objektklassen und Eigenschaften (objectclass:property), jeweil durch ein Semikolon (;) voneinander getrennt, angegeben werden.

Information Wert
Datentyp String

Zuordnung von Gruppenmember-IDs

Gibt den LDAP-Filter für die Benutzer/Gruppen-Zugehörigkeiten an.

Für Verzeichnisserverprodukte wie SecureWay und Domino können in diesem Feld mehrere Paare vom Typ "Objektklasse:Eigenschaft" angegeben werden. Die Angaben müssen durch ein Semikolon voneinander getrennt werden. Im objectclass:property-Paar ist die Objektklasse (objectclass) dieselbe Objektklasse, die im Gruppenfilter definiert ist, und die Eigenschaft (property) gibt das Memberattribut an. Stimmt die Objektklasse nicht mit der Objektklasse im Gruppenfilter überein, kann die Berechtigung fehlschlagen, wenn Gruppen Sicherheitsrollen zugeordnet sind. Weitere Informationen zu dieser Syntax finden Sie in der Dokumentation zum LDAP-Verzeichnisservice.

Für IBM® Directory Server, Sun ONE und Active Directory werden in diesem Feld mehrere Gruppenattribut:Memberattribut-Paare durch Semikolons (;) voneinander getrennt akzeptiert. Diese Wertpaare werden verwendet, um die Gruppenzugehörigkeit eines Benutzers zu ermitteln. Dazu werden alle Gruppenattribute eines bestimmten Benutzers aufgezählt. Das Attributpaar memberof:member wird beispielsweise von Active Directory und ibm-allGroup:member von IBM Directory Server verwendet. Dieses Feld gibt auch an, unter welcher Eigenschaft einer Objektklasse sich die Liste von Membern der Gruppe befindet, die durch die Objektklasse angegeben wird. Informationen zu unterstützten DALDAP-Verzeichnisservern finden Sie unter Unterstützte Verzeichnisservices.

Information Wert
Datentyp String

Kerberos-Benutzerfilter

Gibt den Wert für den Kerberos-Benutzerfilter an. Dieser Wert kann geändert werden, wenn Kerberos als eines der bevorzugten Authentifizierungsverfahren konfiguriert und aktiv ist.

Information Wert
Datentyp String

Modus für Zertifikatszuordnung

Gibt an, ob X.509-Zertifikate mit EXACT_DN oder CERTIFICATE_FILTER dem LDAP-Verzeichnis zugeordnet werden sollen. Geben Sie CERTIFICATE_FILTER an, um den angegebenen Zertifikatsfilter für die Zuordnung zu verwenden.

Information Wert
Datentyp String

Zertifikatsfilter

Gibt die Zertifikatszuordnungseigenschaft für den LDAP-Filter an. Der Filter wird verwendet, um Attribut im Clientzertifikat den Einträgen in der LDAP-Registry zuzuordnen.

Falls zur Laufzeit mehrere LDAP-Einträge der Filterspezifikation entsprechen, schlägt die Authentifizierung fehl, da die Übereinstimmung nicht eindeutig ist. Die Syntax bzw. Struktur dieser Datei ist (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). Die Filterspezifikation enthält ein LDAP-Attribut, das von dem Schema abhängig ist, für das Ihr LDAP-Server konfiguriert ist. Die Filterspezifikation enthält außerdem eines der öffentlichen Attribute in Ihrem Clientzertifikat. Dieser Teil der Filterspezifikation muss mit einem Dollarzeichen ($) und einer linken geschweiften Klammer ({) beginnen und mit einer rechten geschweiften Klammer (}) enden. Sie können die folgenden Zertifikatsattributwerte verwenden. Dabei ist die Groß-/Kleinschreibung der Zeichenfolge wichtig:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    <xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Ausstellers darstellen. Als allgemeinen Namen des Ausstellers könnten Sie beispielsweise ${IssuerCN} verwenden.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    <xx> wird durch die Zeichen ersetzt, die eine gültige Komponente des definierten Namens des Subjekts darstellen. Als allgemeinen Subject-Namen könnten Sie beispielsweise ${SubjectCN} verwenden.

  • ${Version}
Fehler vermeiden Fehler vermeiden: SANs (Subject Alternative Names) werden (SANs) in Zertifikatsfilterelementen nicht unterstützt.gotcha
Information Wert
Datentyp String

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_advldap
Dateiname:usec_advldap.html