Wenn Sie über Lightweight Directory Access
Protocol (LDAP) auf eine Benutzerregistry zugreifen möchten, müssen Sie einen gültigen Benutzernamen (ID) und ein Kennwort, den Serverhost und Port des Registry-Servers,
den Basis-DN und gegebenenfalls den Bind-DN und das Bind-Kennwort kennen.
Sie können jeden gültigen Benutzer in der Registry auswählen, der
gesucht werden kann. Sie können für die Anmeldung jede Benutzer-ID verwenden, die einer
Verwaltungsrolle zugeordnet ist.
Vorbereitende Schritte
Anmerkung: Dieser Artikel referenziert eine oder mehrere Protokolldateien des Anwendungsservers. Alternativ dazu wird empfohlen, den Server
so zu konfigurieren, dass er die HPEL-Protokoll- und -Traceinfrastruktur (High Performance Extensible Logging) verwendet und nicht die Dateien SystemOut.log , SystemErr.log,
trace.log und activity.log auf verteilten oder IBM® i-Systemen. Sie können HPEL auch in Verbindung
mit Ihren nativen z/OS-Protokolleinrichtungen verwenden. Wenn Sie HPEL verwenden, können Sie
mit dem Befehlszeilentool LogViewer im Verzeichnis "bin" des Serverprofils auf alle Ihre Protokoll- und Tracedaten zugreifen. Weitere Informationen zur Verwendung von
HPEL finden Sie in der Dokumentation zum Einsatz von HPEL für die Fehlerbehebung in Anwendungen.
Es gibt zwei verschiedene Identitäten, die für Sicherheitszwecke verwendet werden:
die Benutzer-ID für Verwaltungsfunktionen und die Serveridentität.
Wenn die Verwaltungssicherheit aktiviert ist, werden die Benutzer-ID und das Kennwort für Verwaltungsfunktionen über die
Registry authentifiziert.
Schlägt die Authentifizierung fehl, wird der Zugriff auf die Administrationskonsole nicht erteilt, oder Tasks mit
wsadmin-Scripts werden nicht ausgeführt. Die ausgewählte ID und das zugehörige Kennwort
sollten kein Verfallsdatum haben und nicht häufig geändert werden. Wenn diese
Benutzer-ID und das zugehörige Kennwort in der Registry geändert werden müssen, stellen Sie sicher, dass die Änderungen vorgenommen werden,
wenn alle Anwendungsserver aktiv sind.
Wenn Sie Änderungen in der Registry vornehmen müssen, lesen Sie vor Ausführung dieser Task den Artikel
Eigenständige LDAP-Registrys.
Die Serveridentität wird für die interne Prozesskommunikation verwendet.
Im Rahmen dieser Task können Sie die Serveridentität von der automatisch generierten Standard-ID in eine Server-ID und ein Kennwort aus dem
LDAP-Repository ändern.
Vorgehensweise
- Klicken Sie in der Administrationskonsole auf
.
- Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen.
Wählen Sie Eigenständige LDAP-Registry aus und klicken Sie auf Konfigurieren.
- Geben Sie im Feld Name des primären
Benutzers mit Verwaltungsaufgaben einen gültigen Benutzernamen ein. Gewöhnlich ist der Benutzername der Kurzname des Benutzers und wird mit dem Benutzerfilter in der Anzeige "Erweiterte LDAP-Einstellungen" definiert.
- Bestimmen Sie, ob die Benutzer-ID angegeben werden soll, die für die interne Prozesskommunikation verwendet wird. Zellen, die Knoten der Version 5.1 oder 6.x enthalten, erfordern eine Serverbenutzer-ID, die im aktiven
Benutzerrepository definiert ist. Die Option Automatisch generierte
Serveridentität ist standardmäßig ausgewählt, damit der Anwendungsserver die Serveridentität generiert.
Sie können jedoch die Option Im Repository gespeicherte Serveridentität auswählen, um die Serveridentität und das zugehörige
Kennwort anzugeben.
- Wählen Sie in der Liste Typ den Typ des zu verwendenden LDAP-Servers aus. Der LDAP-Servertyp bestimmt die Standardfilter, die von
WebSphere Application Server verwendet werden. Wenn diese Standardfilter geändert werden, wird der
Wert im Feld Typ auf Angepasst gesetzt, um anzuzeigen, dass eigene
Filter verwendet werden. Klicken Sie in der Anzeige "Erweiterte LDAP-Einstellungen" auf OK oder
Anwenden. Wenn Sie andere LDAP-Server verwenden möchten, wählen Sie bei Bedarf in der Liste den Typ Angepasst aus und ändern Sie die Benutzer- und
Gruppenfilter.
Benutzer von IBM Tivoli Directory Server
können IBM Tivoli Directory Server als Verzeichnistyp auswählen.
Verwenden Sie den Verzeichnistyp IBM Tivoli Directory
Server, um eine bessere Leistung zu erzielen.
Achtung: IBM SecureWay Directory Server
wurde in WebSphere Application Server Version 6.1 in IBM Tivoli Directory Server umbenannt.
- Geben Sie im Feld Host den vollständig qualifizierten Hostnamen des LDAP-Servers ein. Sie
können entweder die IP-Adresse oder den DNS-Namen (Domain Name System) eingeben.
- Geben Sie im Feld Port die Portnummer für den LDAP-Server ein. Der Hostname und die Portnummer
repräsentieren den Realm dieses LDAP-Servers in der WebSphere Application Server-Zelle. Wenn Server in anderen
Zellen über LTPA-Token (Lightweight miteinander kommunizieren, müssen diese
Realms in
allen Zellen exakt übereinstimmen.
Der Standardwert ist
389. Wenn mehrere WebSphere Application Server installiert und für die Ausführung in derselben SSO-Domäne
konfiguriert sind oder wenn WebSphere Application Server mit einer älteren Version des WebSphere
Application Server interagiert, muss die Portnummer in allen Konfigurationen identisch sein. Wenn der LDAP-Port in einer Konfiguration
der Version 5.x beispielsweise explizit mit 389 definiert ist und ein WebSphere Application Server der Version 6.0.x
mit dem Server der Version 5.x interagieren soll, müssen Sie sicherstellen, dass
Port 389 explizit für den Server der Version 6.0.x angegeben ist.
Sie können die angepasste Eigenschaft "com.ibm.websphere.security.ldap.logicRealm" setzen, um den Wert für den Realmnamen
zu ändern, der in das Token eingefügt wird.
Weitere Informationen finden Sie im Artikel zu den angepassten Eigenschaften für die Sicherheit.
- Geben Sie im Feld Basis-DN den Basis-DN ein. Der Basis-DN ist der
Ausgangspunkt für Suchoperationen in diesem LDAP-Verzeichnisserver. Für einen Benutzer mit dem DN cn=John Doe,
ou=Rochester, o=IBM, c=US kann
der definierte Basisname wie folgt angegeben werden, wenn der Suffix
c=us verwendet wird:
- ou=Rochester, o=IBM, c=us
- o=IBM, c=us
- c=us
Bei
den Werten in diesem Feld wird für die Berechtigung zwischen Groß- und Kleinschreibung
unterschieden. Sie muss mit dem im Verzeichnisserver übereinstimmen.
Wenn beispielsweise ein Token von einer anderen Zelle oder von Domino empfangen wird,
muss also der Basis-DN des Servers exakt mit dem Basis-DN der anderen Zelle oder von
Domino übereinstimmen.
Falls die Unterscheidung von Groß-/Kleinschreibung bei der Berechtigung unerwünscht ist,
können Sie die Option Groß-/Kleinschreibung ignorieren aktivieren. In
WebSphere Application Server wird der definierte Name (DN) gemäß der LDAP-Spezifikation
(Lightweight Directory Access Protocol) normalisiert. Die Normalisierung besteht in dem Entfernen von Leerzeichen aus dem Basis-DN vor und hinter Kommata und Gleichheitszeichen. Beispiel für
einen nicht normalisierten Basis-DN: o = ibm, c = us oder o=ibm, c=us. Beispiel für einen
normalisierten Basis-DN: o=ibm,c=us.
Für die Interaktion
zwischen WebSphere Application Server Version 6.0 und höheren Versionen müssen Sie im Feld Basis-DN
einen normalisierten Basis-DN eingeben.
In WebSphere Application
Server Version 6.0 und höher wird die Normalisierung automatisch zur Laufzeit durchgeführt.
Dieses Feld ist für alle LDAP-Verzeichnisse außer Lotus Domino Directory
erforderlich. Beim Domino-Server ist das Feld Basis-DN optional.
- Optional: Geben Sie im Feld BIND-DN den definierten Namen
für die Bindung ein. Der Bind-DN muss angegeben werden, wenn Benutzer-
und Gruppeninformationen vom LDAP-Server nicht mit
anonymen Bind-Operationen abgerufen werden können. Sollte der LDAP-Server für anonyme
Bind-Operationen konfiguriert sein, lassen Sie dieses Feld leer. Falls keine Name
angegeben wird, stellt der Anwendungsserver die Bindung anonym her. In der Beschreibung des
Feldes Basis-DN finden Sie Beispiele für definierte Namen.
- Optional: Geben Sie im Feld BIND-Kennwort das Kennwort für
den Bind-DN ein.
- Optional: Ändern Sie bei Bedarf das Suchzeitlimit. Hat der
LDAP-Server nach Ablauf dieser Zeit noch keine Antwort an den Produktclient gesendet, wird
die Anforderung gestoppt. Die Standardeinstellung ist 120 Sekunden.
- Vergewissern Sie sich, dass die Option Verbindung wiederverwenden
ausgewählt ist. Die Option ist standardmäßig ausgewählt und gibt an, dass der Server die
LDAP-Verbindung wiederverwenden soll.
Wählen Sie diese Option nur dann ab, wenn ein Router Anforderungen an mehrere LDAP-Server
absetzt oder keine Affinität unterstützt. Lassen Sie diese Option für alle anderen
Situationen ausgewählt.
- Optional: Vergewissern Sie sich, dass die Option Groß-/Kleinschreibung für Berechtigung ignorieren ausgewählt ist. Wenn diese Option aktiviert ist, wird bei der Berechtigungsprüfung die
Groß-/Kleinschreibung nicht abgeglichen. Bei der Berechtigungsprüfung wird normalerweise
der vollständige DN eines Benutzers unter Berücksichtigung der Groß-/Kleinschreibung geprüft. Dieser Name ist für den LDAP-Server eindeutig. Wenn Sie jedoch den LDAP-Server von IBM Directory Server oder Sun ONE (früher iPlanet)
Directory Server verwenden, muss diese Option aktiviert werden, da die von LDAP-Servern
abgerufenen Gruppeninformationen mit Blick auf die Groß-/Kleinschreibung inkonsistent
sind. Diese Inkonsistenz wirkt sich nur auf die Berechtigungsprüfung aus.
Andernfalls ist das Feld optional und kann aktiviert werden, wenn im Hinblick auf die
Berechtigung eine Überprüfung der Groß-/Kleinschreibung erfolgen soll.
Beispielsweise können Sie das Feld verwenden, wenn Sie Zertifikate verwenden und der
Zertifikatinhalt nicht mit der Groß-/Kleinschreibung des Eintrags im LDAP-Server übereinstimmt.
Sie können die Option Groß-/Kleinschreibung ignorieren aktivieren, wenn Sie
zwischen dem Produkt und Lotus Domino SSO (Single Sign-On) verwenden. Diese Option ist standardmäßig ausgewählt.
- Optional: Wählen Sie die Option SSL aktiviert aus, wenn Sie mit dem LDAP-Server über SSL kommunizieren möchten.
Wichtig: Dieser Schritt ist nur erfolgreich, sofern das Unterzeichnerzertifikat
für LDAP zuerst dem Truststore hinzugefügt wird, der verwendet wird.
Wenn das Unterzeichnerzertifikat aus LDAP dem Truststore nicht hinzugefügt wird, geschieht Folgendes:
- Es wird ein Fehler von der Administrationskonsole ausgegeben.
- Die Deployment-Manager-Datei "systemout.log" enthält die Nachricht CWPKI0022E:
FEHLER BEIM SSL-HANDSHAKE, die Sie darauf hinweist, dass das Unterzeichnerzertifikat dem Truststore hinzugefügt werden muss.
Um eine fehlerfreie Operation in diesem Schritt zu gewährleisten, müssen Sie das Unterzeichnerzertifikat aus LDAP
zuerst in eine Datei extrahieren und diese Datei an die Maschine mit WebSphere Application
Server senden. Anschließend können Sie das Zertifikat dem Truststore hinzufügen, der für LDAP definiert wird.
Auf diese Weise stellen Sie sicher, dass die verbleibenden Aktionen für diesen Schritt erfolgreich sind.
Wenn Sie die Option
SSL aktiviert verwenden,
können Sie die Option
Zentral verwaltet oder
Speziellen SSL-Alias verwenden auswählen.
- Zentral verwaltet
- Wenn Sie diese Option auswählen, können Sie eine SSL-Konfiguration für einen bestimmten Geltungsbereich, z. B.
Zelle, Knoten, Server oder Cluster, in einer zentralen Position festlegen. Zur Verwendung der Option Zentral verwaltet
müssen Sie die SSL-Konfiguration für die jeweilige Gruppe von Endpunkten angeben.
In der Anzeige "Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten"
werden alle eingehenden und abgehenden Endpunkte angezeigt, die das Protokoll SSL verwenden.
Wenn Sie in dieser Anzeige den Abschnitt "Eingehend" oder "Abgehend" erweitern und auf den Namen eines Knotens klicken,
können Sie eine SSL-Konfiguration anzeigen, die für jeden Endpunkt auf diesem Knoten verwendet wird.
Für eine LDAP-Registry können Sie die geerbte
SSL-Konfiguration überschreiben, indem Sie eine SSL-Konfiguration für LDAP angeben. Führen Sie die folgenden Schritte aus,
um eine SSL-Konfiguration für LDAP anzugeben:
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen und anerkannte Zonen für Endpunkt verwalten.
- Klicken Sie auf Abgehend > Zellenname > Knoten > Knotenname >
Server > Servername > LDAP.
- Speziellen SSL-Alias verwenden
- Wählen Sie die Option Speziellen SSL-Alias verwenden nur aus, wenn Sie
eine der SSL-Konfigurationen im Menü auswählen möchten.
Diese Konfiguration wird nur verwendet, wenn SSL für LDAP aktiviert ist. Die Standardeinstellung
ist
DefaultSSLSettings. Sie können auf den Namen einer vorhandenen Konfiguration klicken, um sie
zu ändern, oder Sie können die folgenden Schritte ausführen, um eine neue SSL-Konfiguration zu erstellen:
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Konfigurationseinstellungen" auf Sicherheitskonfigurationen für Endpunkt verwalten.
- Wählen Sie einen SSL-Konfigurationsnamen für ausgewählte Geltungsbereiche, z. B. eine Zelle, einen Server oder einen Cluster, aus.
- Klicken Sie unter "Zugehörige Elemente" auf SSL-Konfigurationen.
- Klicken Sie auf Neu.
- Klicken Sie auf
OK oder
Anwenden, bis Sie zur Anzeige "Globale Sicherheit" zurückkehren, und klicken Sie auf dieser Seite
auf Speichern, um die LDAP-Konfiguration zu speichern.
- Prüfen Sie, ob
Verfügbare Realmdefinitionen auf Eigenständige LDAP-Registry gesetzt ist.
Andernfalls wählen Sie diese Einstellung im Pulldown-Menü aus und legen Sie sie als aktuelle Registry fest. Wählen Sie anschließend
Anwenden aus.
Ergebnisse
Dieser Schritt ist erforderlich, um die LDAP-Benutzerregistry zu konfigurieren. Dieser Schritt muss im Rahmen der Aktivierung der Sicherheit für WebSphere
Application Server ausgeführt werden.
Nächste Schritte
- Wenn Sie die Sicherheit aktivieren, führen Sie die verbleibenden Schritte, wie im Artikel Sicherheit für den Realm aktivieren beschrieben,
aus.
Wenn Sie SAF-Berechtigung (System Authorization Facility) für Ihre LDAP-Registry verwenden möchten,
lesen Sie die Informationen im Artikel Hinweise zu SAF für die Betriebssystem- und Anwendungsebenen.
- Die in dieser Anzeige vorgenommenen Änderungen werden erst wirksam, wenn Sie alle Produktserver (Deployment Manager,
Knoten und Application Server) speichern, stoppen und erneut starten. Wenn der Server fehlerfrei initialisiert wird, ist die Konfiguration korrekt.