Einschränkungen eingebundener Repositorys
Dieser Artikel enthält bekannte Einschränkungen und wichtige Informationen für die Konfiguration von eingebundenen Repositorys.
Eingebundene Repositorys in einer heterogenen Umgebung konfigurieren
- Sie können in der Konfiguration für eingebundene Repositorys nur ein LDAP-Repository (Lightweight Directory Access Protocol) konfigurieren, und das Repository muss von Version 5.x bzw. 6.0.x unterstützt werden.
- Sie können nur Realmnamen angeben, die mit den früheren Versionen kompatibel sind. Hostname und Portnummer stellen den Realm für den LDAP-Server in einer heterogenen Zelle dar, z. B. maschine1.austin.ibm.com:389.
- Sie müssen eine eigenständige LDAP-Registry konfigurieren. Die LDAP-Informationen in der eigenständigen
LDAP-Registry und im LDAP-Repository in der Konfiguration für eingebundene Repositorys müssen übereinstimmen. Während der Knotensynchronisation werden die LDAP-Informationen
aus der eigenständigen LDAP-Registry an die Knoten der Version 5.x
bzw. 6.0.x weitergegeben. Wichtig: Vergewissern Sie sich vor der Knotensynchronisation, dass im Feld "Aktuelle Realmdefinition" der Eintrag "Eingebundene Repositorys" angegeben ist. Wenn "Eingebundene Repositorys" nicht angegeben ist, wählen Sie Eingebundene Repositorys im Feld "Verfügbare Realmdefinitionen" aus, und klicken Sie dann auf Als aktuelles Repository festlegen. Legen Sie die eigenständige LDAP-Registry nicht als aktuelle Realmdefinition fest.
- In einer heterogenen Deployment-Manager-Zelle kann kein Repository für Eintragszuordnungen und kein Repository für Eigenschaftserweiterungen konfiguriert werden.
LDAP-Server in einer Konfiguration für eingebundene Repositorys konfigurieren
Der Standardwert für das Verbindungszeitlimit der LDAP-Verbindung, connectTimeout, liegt bei 20 Sekunden. LDAP muss innerhalb von 20 Sekunden auf jede Anforderung von WebSphere Application Server reagieren. Wenn Sie keine Verbindung zu Ihrem LDAP-Server herstellen können, müssen Sie sicherstellen, dass LDAP aktiv ist. Wenn das Verbindungszeitlimit den Wert von 20 Sekunden überschreitet, erscheint im oberen Abschnitt der LDAP-Konfigurationsanzeige ein Verbindungsfehler.
Koexistenz mit Tivoli Access Manager
- Sie können in der Konfiguration für eingebundene Repositorys nur ein LDAP-Repository konfigurieren, und diese LDAP-Repository-Konfiguration muss mit der Konfiguration des LDAP-Servers in Tivoli Access Manager übereinstimmen.
- Der definierte Name (DN) des Realmbasiseintrags muss mit dem LDAP-DN des Basiseintrags im Repository übereinstimmen. In WebSphere Application Server verwendet Tivoli Access Manager die LDAP-Benutzer-ID und den LDAP-DN für die Authentifizierung und die Berechtigung. Die Konfiguration für eingebundene Repositorys enthält keine zusätzlichen Zuordnungen für die LDAP-Benutzer-ID und den LDAP-DN.
- Die Funktion "Eingebundene Repositorys" erkennt die von Tivoli Access Manager angegebenen Metadaten nicht. Wenn Sie Benutzer und Gruppen mit der Benutzer- und Gruppenverwaltung erstellen, werden die Metadaten von Tivoli Access Manager nicht für die Formatierung verwendet. Die Benutzer und Gruppen müssen manuell in Tivoli Access Manager importiert werden, damit Sie sie für die Authentifizierung und Berechtigung verwenden können.
Einschränkung bei der Konfiguration von Active Directorys mit eigenen Realms für das eingebundene Repository
Wenn Sie über die Administrationskonsole eine Platzhaltersuche nach allen verfügbaren Benutzern in zwei Active Directorys durchführen und Ausnahmen wegen mehrerer Einträge für alle integrierten IDs verhindern möchten, müssen Sie zuerst jedes Active Directory mit einem eigenen Realm für das eingebundene Repository konfigurieren.
$AdminTask createIdMgrRealm {-name AD1realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD1realm -baseEntry o=AD1}
$AdminTask createIdMgrRealm {-name AD2realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD2realm -baseEntry o=AD2}
$AdminConfig save
Einschränkung für die Repository-ID in der Konfiguration für eingebundene Repositorys
In einer Konfiguration für eingebundene Repositorys dar fid eRepository-ID nicht länger als 36 Zeichen sein. Wenn die Repository-ID länger als 36 Zeichen ist, kann beim Abrufen oder Speichern der Daten ein Fehler auftreten, insbesondere, wenn das Repository für Eigenschaftserweiterungen konfiguriert ist.
z/OS-LDAP-Server mit RACF wird nicht unterstüzt
Eingebundene Repositorys von WebSphere Application Server unterstützen keine z/OS-LDAP-Server mit einem SDBM-Back-End (Resource Access Control Facility (RACF)).