Authentifizierung mit Microsoft-Active Directory
Viele Installationen verwenden Microsoft-Active Directory als primäre Komponente für die Verwaltung der Benutzerauthentifizierung und der Benutzerdaten. Ein Abschnitt des Microsoft-Active Directory stellt einen LDAP-Service (Lightweight Directory Access Protocol) bereit. WebSphere Application Server unterstützt LDAP und daher auch Microsoft-Active Directory.
Microsoft-Active Directory ist zwar vollständig LDAP-kompatibel, macht die LDAP-Informationen jedoch auf eine Art und Weise zugänglich, die es erschwert, Verzeichnisinformationen für WebSphere Application Server abzurufen.
WebSphere Application Server setzt voraus, dass ein einzelnes LDAP-Verzeichnis alle Informationen enthält, die für den Betrieb notwendig sind. Bei komplexen Konfigurationen von Microsoft-Active Directory ist das nicht der Fall. Installationen von Microsoft-Active Directory für WebSphere Application Server müssen wegen der Art und Weise, in der Daten auf den Domänencontrollern in einer Gesamtstruktur verteilt sind, besondere Herausforderungen bewältigen.
Installationen von Microsoft-Active Directory beinhalten häufig die Verwendung einer Gesamtstruktur. In diesem Zusammenhang werden sicherheitsrelevante Fragen wichtig, wie z. B. die Eindeutigkeit von Benutzer-IDs, das zuverlässige Abrufen von Informationen zu Benutzergruppen und Gruppenzugehörigkeit.
Die folgende Abbildung zeigt eine typische Installationsumgebung von Microsoft-Active Directory.

Diese Abbildung zeigt zwei Gesamtstrukturen mit einer oder mehreren Baumstrukturen. Eine Baumstruktur kann eine oder mehrere Domänen enthalten, wobei die Domäne die einzelne atomare Einheit ist, die die Basis für die erstellte Umgebung bildet. Jede Domäne setzt sich zusammen aus den Komponenten im definierten Namen, die sich auf die primäre Domäne beziehen, z. B. dc=acme, dc=com. Eine Gesamtstruktur kann eine Vertrauensbeziehung zu anderen Gesamtstrukturen herstellen (auf der Basis von Kerberos).
Konfigurationen von Microsoft-Active Directory für WebSphere Application Server
- Einfache Konfiguration
- Typische Konfiguration
- Weniger typische Konfigurationen
- Seltene Konfigurationen
Die einfachste Konfiguration besteht aus einer eigenständigen LDAP-Registry, die eine einzelne Domäne darstellt. Bei dieser Konfiguration ist die Übereinstimmung zwischen WebSphere Application Server und Microsoft-Active Directory am größten. Hier wird Microsoft-Active Directory über die Implementierung der eigenständigen LDAP-Benutzerregistry von WebSphere Application Server unterstützt. Alternativ dazu können Sie über eine Registry für eingebundene Repositorys, die ein einzelnes LDAP-Repository enthält, auf diese einzelne Microsoft-Active Directory-Domäne zugreifen.
Im Gegensatz zur einfachen Konfiguration von Microsoft-Active Directory, die eine einzelne Domäne verwendet, besteht eine typische Konfiguration von Microsoft-Active Directory aus einer einzelnen Baumstruktur in einer Gesamtstruktur, wobei jede Verzweigung der Baumstruktur eine Domäne darstellt. Es folgt ein Beispiel für eine solche Konfiguration mit einer aus vier Domänen (A, B, C, D) bestehenden Baumstruktur:


Weniger typische Konfigurationen von Microsoft-Active Directory für WebSphere Application Server werden aus Zusammenschlüssen von Organisationseinheiten in einem größeren Unternehmen entwickelt. Im Gegensatz zur ursprünglich in Unternehmen verwendeten einzelnen Gesamtstruktur von Domänen können beim Zusammenschluss mehrerer neuer Organisationseinheiten Baumstrukturen zur Gesamtstruktur hinzugefügt werden. Es ist sogar möglich, mehrere Gesamtstrukturen zur Umgebung hinzuzufügen. In dieser Umgebung müssen Sie bei der LDAP-Konfiguration von WebSphere Application Server mit großer Sorgfalt vorgehen. Sie müssen hier die Registry für eingebundene Repositorys verwenden, mit eigenständigen LDAP-Repositorys, die der Ausgangsebene jeder Baumstruktur in der Gesamtstruktur zugeordnet sind. Wenn unterhalb der Domäne der Ausgangsebene eine Baumstruktur von Microsoft-Active Directory vorhanden ist, müssen LDAP-Links für die LDAP-Registry aktiviert werden. Die Gesamtstruktur, die sich aus einem Zusammenschluss ergibt, kann aussehen wie in der folgenden Abbildung dargestellt:

Seltene Konfigurationen liegen vor, wenn Microsoft-Active Directory-Domänen in einer Kombination aus Benutzergesamtstruktur und Gruppengesamtstruktur konfiguriert werden. Benutzer werden als ForeignSecurityPrincipals-Objekte in die Gruppengesamtstruktur importiert. Die Gruppen enthalten die definierten Namen der ForeignSecurityPrincipals-Objekte als Member.
Bei dieser Form der Konfiguration werden keine auf direkte Gruppen bezogene Suchvorgänge durchgeführt. Suchvorgänge werden über mehrere Registrys an eine Abfrage weitergeleitet, die sich auf statische Gruppen bezieht. Diese Konfiguration setzt eine angepasste Benutzerregistry voraus. Registrys von WebSphere Application Server unterstützen diesen Konfigurationstyp jedoch nicht. Sehen Sie sich die folgende Abbildung an.

Microsoft-Active Directory-Gesamtstruktur als Filter für LDAP-Benutzer
Die Authentifizierung eines Benutzers über mehrere Repositorys oder ein verteiltes Lightweight Directory Access Protocol (LDAP) wie eine Microsoft-Active Directory-Gesamtstruktur kann extrem herausfordernd sein. Wenn zur Laufzeit beim Durchsuchen der gesamten Registry mehrere Übereinstimmungen gefunden werden, schlägt die Authentifizierung aufgrund des mehrdeutigen Ergebnisses fehl. In vielen Umgebungen mit Microsoft-Active Directory-Domänen muss der Administrator von WebSphere Application Server berücksichtigen, dass die eindeutige Standard-ID in Microsoft-Active Directory dem Attribut "sAMAccountName" eines Benutzers entspricht. Benutzer-IDs sind in einer Domäne auf jeden Fall eindeutig, aber es gibt keine automatische Garantie, dass eine bestimmte Benutzer-ID auch in einer Baum- oder Gesamtstruktur eindeutig ist. Im Artikel "Authentifizierung von Benutzern mit LDAP-Registrys in einer Microsoft-Active Directory-Gesamtstruktur" wird beschrieben, wie Sie Benutzer-IDs mit dem Benutzerattribut "sAMAccountName" in einer Microsoft-Active Directory-Gesamtstruktur suchen können.
