Benutzer bei LDAP-Registrys in einer Microsoft-Active Directory-Gesamtstruktur authentifizieren

Die Authentifizierung eines Benutzers über mehrere Repositorys oder ein verteiltes Lightweight Directory Access Protocol (LDAP), wie z. B. eine Microsoft Active Directory-Gesamtstruktur, kann extrem herausfordernd sein. Wenn zur Laufzeit beim Durchsuchen der gesamten Registry mehrere Übereinstimmungen gefunden werden, schlägt die Authentifizierung aufgrund des mehrdeutigen Ergebnisses fehl.

Vorbereitende Schritte

In vielen Umgebungen mit Microsoft Active Directory-Domänen muss der WebSphere Application Server-Administrator berücksichtigen, dass die eindeutige Standard-ID in Microsoft Active Directory dem Attribut "sAMAccountName" eines Benutzers entspricht.

Informationen zu diesem Vorgang

Benutzer-IDs sind in einer Domäne auf jeden Fall eindeutig, aber es gibt keine automatische Garantie. dass eine bestimmte Benutzer-ID auch in einer Baum- oder Gesamtstruktur eindeutig ist. Nehmen Sie beispielsweise an, die Benutzer-ID smith, wird in der Gesamtstruktur und in jeder Unterdomäne hinzugefügt. Bei der Suche nach sAMAccountName=smith werden drei Übereinstimmungen zurückgegeben. WebSphere Application Server authentifiziert diesen Benutzer nicht, wenn es mehrere mögliche Übereinstimmungen in der Registry gibt.
Abbildung 1. Strategie für die Suche in einer Gesamtstruktur. Abbildung zur Suche der nicht eindeutigen ID sAMAccountName in der Gesamtstruktur. Strategie für die Suche in einer Gesamtstruktur

Sie können diese Bedingung mildern, indem Sie den Benutzerfilter so ändern, dass er auf dem Attribut userPrincipalName des in der Gesamtstruktur eindeutigen Benutzers und nicht auf dem Attribut "sAMAccountName" basiert. Benutzer müssen sich dann allerdings mit ihrem Benutzernamen des Principals anmelden, den sie möglicherweise nicht kennen.

Die jeweilige Prozedur, mit der ein Benutzerfilter in einer LDAP-Benutzerregistry eingerichtet wird, ist vom Typ der LDAP-Registry abhängig. Die folgenden Beispiele veranschaulichen eine Prozedur für eine eigenständige LDAP-Registry und eine Prozedur für eine Registry mit eingebundenen Repositorys.

Vorgehensweise

  1. Erstellen Sie einen Benutzerfilter in einer eigenständigen LDAP-Registry: Sie können den Benutzerfilter auf der Seite mit Einstellungen für die LDAP-Benutzerregistry festlegen, um anstelle des Werts für sAMAccountName nach dem Wert für userPrincipalName zu suchen.
    Beispiel:
    (&(objectClass=user)(userPrincipalName=%w))
  2. Erstellen Sie einen Benutzerfilter in einer Registry mit eingebundenen Repositorys: Sie können die Anmeldeeigenschaft in uid;cn ändern, z. B., indem Sie die Administrationskonsole verwenden.
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Klicken Sie unter "Verfügbare Realmdefinitionen" auf Eingebundene Repositorys und dann auf Konfigurieren. In einer Umgebung mit mehreren Sicherheitsdomänen klicken Sie auf Sicherheitsdomänen > Domänenname. Erweitern Sie unter "Sicherheitsattribute" den Eintrag "Benutzerrealm", und klicken Sie auf Für diese Domäne anpassen. Wählen Sie den Realmtyp Eingebundene Repositorys aus, und klicken Sie dann auf Konfigurieren.
    3. Klicken Sie unter "Zugehörige Elemente" auf Repositorys verwalten.
    4. Klicken Sie auf Hinzufügen > LDAP-Repository.
    5. Fügen Sie unter "Allgemeine Eigenschaften" die folgenden Informationen hinzu:
      Repository-ID
      forest
      Verzeichnistyp
      Microsoft Windows Active Directory
      Name des primären Hosts
      forest.acme.net
      Port
      389
      Failover-Server, der verwendet wird, wenn der primäre Server nicht verfügbar ist:
      Ohne
      Definierter Name für Bindung
      cn=wasbind, CN=Users, DC=ib
      Kennwort für Bindung
      ********
      Anmeldeeigenschaften
      uid;cn
  3. Klicken Sie auf OK und Speichern, um die Änderungen in der Masterkonfiguration zu speichern.
  4. Klicken Sie auf der Seite "Konfiguration des LDAP-Repositorys" unter "Weitere Eigenschaften" auf LDAP-Attribute.
  5. Klicken Sie auf Hinzufügen > Unterstützt.
  6. Geben Sie im Feld Name den Wert userPrincipalName ein.
  7. Geben Sie im Feld Eigenschaftsname den Wert cn ein.
  8. Geben Sie im Feld Entitätstypen den Wert PersonAccount ein.
  9. Klicken Sie auf OK und Speichern, um die Änderungen in der Masterkonfiguration zu speichern.
  10. Lokalisieren Sie die Datei {WAS_HOME}\profiles\{profileName}\config\cells\{cellName}\wim\config\wimconfig.xml oder die Datei Profilstammverzeichnis/conf/cells/<cell>/wim/config/wimconfig.xml in der Deployment-Manager-Konfiguration.
  11. Editieren Sie die Datei wimconfig.xml.
    1. Lokalisieren Sie das Attribut <config:attributeConfiguration> in der Datei.
    2. Fügen Sie die folgenden Zeilen hinzu:
      <config:attributes name="userPrincipalName" propertyName="cn">
      <config:entityTypes>PersonAccount</config:entityTypes>
      </config:attributes>
    Anmerkung: Die Datei wimconfig.xml wird durch die Verarbeitung der Administrationskonsole überschrieben. Diese 3 hinzugefügten Zeilen der Datei wimconfig.xml können verloren gehen.
  12. Speichern Sie die Datei wimconfig.xml.
  13. Führen Sie das Script Profilstammverzeichnis/bin/syncNode.bat oder Profilstammverzeichnis/syncNode.bar/sh auf allen Knoten in der Konfiguration aus.

Ergebnisse

Fehler vermeiden Fehler vermeiden: Wenn Sie eines dieser Szenarien auswählen, ziehen Sie die entsprechenden Informationen zu Microsoft Active Directory zu Rate, um sich mit allen Auswirkungen vertraut zu machen, die diese Szenarien auf Ihre Konfigurationsplanung haben können.gotcha

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad_filter
Dateiname:tsec_was_ad_filter.html