Optionen zur Ermittlung der Gruppenzugehörigkeit in der Microsoft-Active Directory-Gesamtstruktur

Das Suchen und Auffinden Gruppenzugehörigkeit in der Microsoft-Active Directory-Gesamtstruktur ist für die Authentifizierung von Benutzern notwendig. Es gibt verschiedene Möglichkeiten, die Gruppenzugehörigkeit in der Microsoft-Active Directory-Gesamtstruktur zu lokalisieren.

Die folgende Abbildung zeigt ein Beispiel für die Gruppenzugehörigkeit in der Microsoft-Active Directory-Gesamtstruktur, um Ansätze zur Lokalisierung von Gruppenzugehörigkeiten zu veranschaulichen.

Abbildung 1. Gruppenzugehörigkeit auffinden. Eine Veranschaulichung von Ansätzen zur Lokalisierung von Gruppenzugehörigkeiten.Gruppenzugehörigkeit auffinden
  • Option 1 verwendet keine verschachtelten Gruppen, und die folgenden Schritte beschreiben den Prozess zur Lokalisierung von Gruppenzugehörigkeiten mit einer hypothetischen Organisationsstruktur.
    • Erstellen Sie eine globale Gruppe mit dem Namen NA employees.
    • Erstellen Sie eine globale Gruppe mit dem Namen EU employees.
    • Ordnen Sie den Gruppen NA employees und EU employees die Java™-EE-Rolle (Java Platform, Enterprise Edition) zu. Wenn zu viele untergeordnete Domänen vorhanden sind, kann das zur Folge haben, dass diese Zuordnung nicht verwaltet werden kann.
    • Aktivieren Sie Links.
      Verwenden Sie in WebSphere Application Server Version 6.1 eingebundene Repositorys, und beachten Sie dabei folgende Punkte:
      • Verwenden Sie einen eingebundenen Realm.
      • Fügen den Domänencontroller der Ausgangsebene von Microsoft-Active Directory zum Repository hinzu. Fügen Sie keine Controller der untergeordneten Domäne hinzu, denn das hat zur Folge, dass bei Suchvorgängen, die sich auf Benutzer-IDs beziehen, mehrere Übereinstimmungen erzielt werden. Dies wiederum führt dazu, dass Anmeldungen von Benutzern fehlschlagen.
      • Wählen Sie "Links zu anderen LDAP-Servern unterstützen" = "Folgenw" aus.
  • Option 2 verwendet universelle Gruppen.
    • Stellen Sie einzelne Benutzer in die universelle Gruppe Employees.
      Voraussetzungen:
      • Die Funktionsebene für native Domänen von Windows 2003 ist erforderlich.
      • Benutzer-IDs müssen direkt in universellen Gruppen enthalten sein.
    • Ordnen Sie der Gruppe Employees die Java-EE-Rolle zu.
    • Stellen Sie eine Verbindung zu einem globalen Katalog in der Gesamtstruktur her.
      Tipp: Diese Option reduziert den Umfang des für Verzeichnissuche erforderlichen Datenaustausches. WebSphere Application Server muss nicht alle Links in der Verzeichnisstruktur verwenden. Das bedeutet, jeder Domänencontroller kann die Gruppeninformationen vollständig lokal auflösen.
  • Option 3 verwendet verschachtelte Gruppen.
    • Erstellen Sie die universelle Gruppe Employees.
    • Erstellen Sie die globalen Gruppen NA Employees und EU Employees, und ordnen Sie sie der universellen Gruppe Employees als Member zu.
      Voraussetzungen: Funktionsebenen der nativen Windows-Domäne.
    • Ordnen Sie der Gruppe "Employees" die Java-EE-Rolle zu.
    • Aktivieren Sie Links.
      Verwenden Sie in WebSphere Application Server Version 6.1 eingebundene Repositorys, und beachten Sie dabei folgende Punkte:
      • Verwenden Sie einen eingebundenen Realm.
      • Fügen den Domänencontroller der Ausgangsebene von Active Directory zum Repository hinzu. Fügen Sie keine Controller der untergeordneten Domäne hinzu, denn das hat zur Folge, dass bei Suchvorgängen, die sich auf Benutzer-IDs beziehen, mehrere Übereinstimmungen erzielt werden.
      • Wählen Sie "Links zu anderen LDAP-Servern unterstützen" = "Folgen" aus.
    • Aktivieren Sie verschachtelte Gruppen.
    Tipp: Diese Option bietet bei der Nutzung von WebSphere Application Server ab Version 6.1 die optimale Methode. Vor WebSphere Application Server Version 6.1 wurden Links nicht offiziell unterstützt.

Zusammenfassung

In der folgenden Tabelle ist zusammengefasst, wie Sie die Gruppenzugehörigkeit in einer Microsoft-Active Directory-Gesamtstruktur ermitteln können.
Tabelle 1. Gruppenzugehörigkeit auffinden. In der folgenden Tabelle ist angegeben, welche Ebenen der Gruppenzugehörigkeit in einer Microsoft-Active Directory-Gesamtstruktur unterstützt werden.
Gruppenzugehörigkeit Java-EE-Rolle zuordnen zu Bindung zu LDAP herstellen Aktivieren Unterstützt in in WebSphere Application Server Version Kommentare
Globale Gruppen Sammlung globaler Gruppen Domänencontroller der Ausgangsebene an Port 389/636 Links
  • Zusammengefasste Repositorys in WebSphere Application Server
 
Universelle Gruppen Universelle Gruppen Jeder globale Katalog an Port 3268   Alle  
Globale Gruppen in universellen Gruppen Universelle Gruppen Domänencontroller der Ausgangsebene an Port 389/636 Links, verschachtelt
  • Zusammengefasste Repositorys in WebSphere Application Server
Funktionsebene der heterogenen Windows-Domäne kann nicht genutzt werden.

Nutzung des Akttributs "objectCategory" konfigurieren

Ein eingebundenes Repository verwendet für Active Directory-Benutzersuchfilter standardmäßig das Attribut objectCategory. Sie können sicherstellen, dass das eingebundene Repository für die Verwendung des Attributs "objectCategory" konfiguriert ist. Die Konfigurationsdatei für eingebundene Repositorys, wimconfig.xml, sollte beispielsweise dem folgenden Beispiel gleichen:
<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
Konfigurieren Sie den Benutzerfilter und den Gruppenfilter (erweiterte Eigenschaften) wie im folgenden Beispiel:
Benutzerfilter: (&(sAMAccountName=%v)(objectCategory=user))
Gruppenfilter: (&cn=%v)(objectCategory=group)
Führen Sie die folgenden Anweisungen in der Administrationskonsole aus, um den Suchfilter mit dem Attribut "objectCategory" zu vervollständigen.
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Verfügbare Realmdefinitionen" auf Eingebundene Repositorys und dann auf Konfigurieren. In einer Umgebung mit mehreren Sicherheitsdomänen klicken Sie auf Sicherheitsdomänen > Domänenname. Erweitern Sie unter "Sicherheitsattribute" den Eintrag "Benutzerrealm", und klicken Sie auf Für diese Domäne anpassen. Wählen Sie den Realmtyp Eingebundene Repositorys aus, und klicken Sie dann auf Konfigurieren.
  3. Klicken Sie unter "Zugehörige Elemente" auf Repositorys verwalten.
  4. Wählen Sie Gesamtstruktur > LDAP-Entitätstypen > PersonAccount aus. Rufen Sie unter "Allgemeine Eigenschaften" das Feld Suchfilter auf.
  5. Füllen Sie den Suchfilter aus.
    (objectCategory=user)
Fehler vermeiden Fehler vermeiden: Wenn Sie eines dieser Szenarien auswählen, ziehen Sie die entsprechenden Informationen zu Microsoft-Active Directory zu Rate, um sich mit allen Auswirkungen vertraut zu machen, die diese Szenarien auf Ihre Konfigurationsplanung haben können.gotcha

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_group_mem
Dateiname:csec_was_ad_group_mem.html