Utilice este tema para configurar los filtros de búsqueda LDAP. Estos pasos
son necesarios para modificar filtros de grupo y usuario existentes para un tipo de directorio LDAP concreto,
también para configurar filtros de certificados para correlacionar certificados con entradas
en el servidor LDAP.
Antes de empezar
WebSphere Application Server utiliza los filtros LDAP (Lightweight
Directory Access Protocol) para buscar y obtener información sobre usuarios y
grupos de un servidor de directorio LDAP. Se proporciona un conjunto de filtros por omisión para cada servidor
LDAP al que el producto da soporte. Estos filtros se pueden modificar para adaptarlos a cada configuración LDAP. Después de modificar los filtros y pulsar Aceptar o Aplicar, el tipo de directorio
en el panel Registro LDAP autónomo cambia a personalizado, que indica que se utilizan los filtros personalizados. Además, se pueden desarrollar filtros para dar soporte a cualquier tipo de servidor LDAP adicional. La tarea de dar soporte a directorios LDAP adicionales es opcional y no se
da soporte a los demás tipos de directorios LDAP. Complete los pasos siguientes en la consola administrativa.
Procedimiento
- Pulse Seguridad > Seguridad global.
- En el repositorio de cuentas de usuario, seleccione Registro LDAP autónomo y pulse Configurar.
- Bajo Propiedades adicionales, pulse Valores del registro de usuario
LDAP (Advanced Lightweight Directory Access Protocol).
- Modifique el filtro de usuario, si es necesario. El
filtro de usuario se utiliza para buscar usuarios en el registro y se suele
utilizar para las asignaciones de rol a
usuario de seguridad. El filtro
también se utiliza para autenticar un usuario con el atributo
especificado en el filtro. El filtro especifica la propiedad que se utiliza
para buscar usuarios en el servicio de directorios.
En el ejemplo
siguiente, la propiedad que se ha asignado a %v, que es el nombre abreviado
del usuario, debe ser una clave única. Dos entradas de LDAP con la misma
clase de objeto no pueden tener el mismo nombre abreviado. Para buscar
usuarios según sus ID de usuarios (uid) y utilizar la clase de objeto
inetOrgPerson, especifique la siguiente sintaxis:
(&(uid=%v)(objectclass=inetOrgPerson)
Para obtener más información acerca de esta sintaxis, consulte la documentación Utilización de servidores de directorios específicos como servidor LDAP.
- Modifique el filtro de usuarios Kerberos si es necesario. El nombre de filtro de usuarios Kerberos se utiliza para buscar en el registro el nombre principal de Kerberos. Especifique
el atributo LDAP que contiene el nombre principal de Kerberos.
- Filtro krbuser predeterminado de IBM Lotus Domino:
- (&(krbPrincipalName=%v)(objectcategory=Person))
- Filtro krbuser predeterminado de IBM SecureWay Directory Server:
- (&(krbPrincipalName=%v)(objectcategory=ePerson))
- Filtro krbuser predeterminado de Microsoft Active Directory:
- (&(userprincipalname=%v)(objectcategory=user))
- Filtro krbuser predeterminado de Sun Java System Directory Server:
- (&(krbPrincipalName=%v)(objectcategory=inetOrgPerson))
- Filtro krbuser predeterminado de Novell eDirectory:
- (&(krbPrincipalName=%v)(objectcategory=Person))
- Opcional: Si utiliza Repositorios federados, modifique el nombre del atributo de Kerberos, si es necesario. El nombre del atributo de Kerberos se utiliza para buscar el registro del identificador individual de Kerberos.
Especifique
el atributo LDAP que contiene el nombre principal de Kerberos.
- Filtro krbuser predeterminado de IBM Lotus Domino:
- krbPrincipalName
- Filtro krbuser predeterminado de IBM SecureWay Directory Server:
- krbPrincipalName
- Filtro krbuser predeterminado de Microsoft Active Directory:
- userprincipalname
- Filtro krbuser predeterminado de Sun Java System Directory Server:
- krbPrincipalName
- Filtro krbuser predeterminado de Novell eDirectory:
- krbPrincipalName
- Modifique el filtro de grupo, si es necesario. El
filtro de grupos se utiliza para buscar grupos en el registro y se suele
utilizar para las asignaciones de rol a grupo de seguridad. También se utiliza para
especificar la propiedad por la que se buscan grupos en el servicio de directorios.
En el ejemplo
siguiente, la propiedad que se ha asignado a %v, que es el nombre abreviado
del grupo, debe ser una clave única. Dos entradas de LDAP con la misma
clase de objeto no pueden tener el mismo nombre abreviado. Para buscar
grupos según sus nombres comunes (CN) y utilizar la clase de objeto
groupOfNames o groupOfNames, especifique la siguiente sintaxis:
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Para obtener más información acerca de esta sintaxis, consulte la documentación Utilización de servidores de directorios específicos como servidor LDAP.
- Modifique la correlación de ID de usuario, si es necesario. Este filtro correlaciona el nombre abreviado de un usuario con una entrada
LDAP y especifica el fragmento de información que representa a los
usuarios cuando estos se visualicen con los nombres abreviados. Por
ejemplo, para visualizar entradas del tipo objectclass =
inetOrgPerson según sus ID, especifique inetOrgPerson:uid.
Este
campo toma varios pares objectclass:property delimitados por un punto y
coma (";"). Para proporcionar un valor coherente para métodos como
getCallerPrincipal y getUserPrincipal, se obtiene el nombre abreviado
mediante el uso de este filtro. Por ejemplo, el usuario CN=Bob Smith, ou=austin.ibm.com, o=IBM, c=US
puede iniciar la sesión utilizando los atributos definidos como, por ejemplo, dirección de correo
electrónico, número de seguridad social, etc, pero, cuando se llama a estos métodos, se devuelve el ID de
usuario bob independientemente de cómo haya iniciado la sesión el usuario.
Nota: Sólo la API getUserDisplayName respeta la correlación de ID de usuario.
- Modifique el filtro de correlación de ID de grupo, si es
necesario. Este filtro correlaciona el nombre abreviado de
un grupo con una entrada LDAP y especifica el fragmento de información que
representa a los grupos cuando estos se visualizan.
Por ejemplo, para visualizar grupos por sus nombres, especifique *:cn.
El
asterisco (*) es un carácter comodín que busca en cualquier clase de objeto en
este caso. Este campo toma varios pares objectclass:property delimitados por un punto
y coma (";").
- Modifique el filtro de correlación de ID de miembro de grupo,
si es necesario. Este filtro identifica de qué grupo es
miembro el usuario. En los tipos de directorio SecureWay y Domino, este campo se utiliza para
consultar todos los grupos que coinciden con las clases de objetos
especificados para ver si el usuario está contenido en el atributo
especificado.
Por ejemplo, para obtener todos los usuarios que
pertenecen a grupos con la clase de objeto groupOfNames y los usuarios
incluidos en los atributos de miembros, especifique
groupOfNames:member. Esta sintaxis, que es una propiedad de una
clase de objeto, almacena la lista de miembros pertenecientes al
grupo representado por la clase de objeto. Este
campo toma varios pares de objectclass:property delimitados por un punto y coma
(;).
Para obtener más información acerca de esta sintaxis, consulte
Utilización de servidores de directorios específicos como servidor LDAP.
En IBM® Tivoli Directory Server, Sun ONE y Active Directory, este campo
se utiliza para consultar todos los usuarios de un grupo con la
información almacenada en el objeto de usuario. Por ejemplo, el filtro
memberof:member (para Active Directory) se utiliza para obtener el
atributo memberof del objeto User y así obtener todos los grupos a
los que pertenece el usuario. El atributo member se utiliza para
obtener todos los usuarios de un grupo que utilizan el objeto Group. La
utilización del objeto User para obtener la información de grupo
mejora el rendimiento.
- Seleccione la opción Realizar una búsqueda de grupo anidada
si el servidor LDAP no da soporte a búsquedas recursivas en el extremo del
servidor.
- Modifique la Modalidad de correlación de certificados, si es
necesario. Puede utilizar los certificados X.590 para la autenticación de usuario si se ha seleccionado LDAP como registro. Este campo se utiliza para indicar si los certificados X.509 se deben correlacionar con un usuario de directorio LDAP mediante EXACT_DN o CERTIFICATE_FILTER.
Si se selecciona EXACT_DN, el DN del certificado debe coincidir
exactamente con la entrada de usuario del servidor LDAP, incluidos los
espacios y las mayúsculas/minúsculas.
Seleccione la opción
Ignorar mayúsculas para autorización en los valores del registro LDAP autónomo para que la autorización ignore mayúsculas y minúsculas.
Para acceder al panel Valores del registro LDAP autónomo, complete los pasos siguientes:
- Pulse Seguridad > Seguridad global.
- En Repositorio de cuentas de usuario, pulse la lista desplegable Definiciones del reino disponibles y seleccione Registro LDAP autónomo.
- Si selecciona CERTIFICATE_FILTER, especifique el filtro LDAP
para correlacionar atributos en el certificado de cliente con entradas de
LDAP. Si hay más de una entrada LDAP que coincide con la especificación de
filtro durante la ejecución, la autenticación fallará, ya que dará como
resultado una coincidencia ambigua. La sintaxis o estructura de este filtro es: LDAP attribute=${atributo de certificado de cliente} (por ejemplo, uid=${SubjectCN}).
Un lado de la especificación del filtro es un atributo LDAP que depende del esquema que el servidor LDAP deba utilizar según su configuración.
El otro lado de la especificación del filtro es
uno de los atributos públicos del certificado de cliente. Tenga en cuenta que la especificación de filtro que es uno de los atributos públicos del certificado de cliente
debe comenzar por la derecha con un signo de dólar ($), una llave inicial
({) y acabar con una llave final (}). Utilice los siguientes valores de atributo de certificado en el lado de la especificación de filtro que es uno de los atributos públicos del certificado de cliente. Es importante la distinción entre mayúsculas y minúsculas de las series.
- {UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
donde <xx> se sustituye por los
caracteres que representan un componente válido del nombre distinguido de emisor. Por ejemplo, puede utilizar ${IssuerCN} para el nombre común de emisor.
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
donde <xx> donde se sustituye por
los caracteres que representan un componente válido del nombre distinguido del sujeto. Por ejemplo, puede utilizar ${SubjectCN} para el nombre común del sujeto.
- ${Version}
Para habilitar este campo, seleccione CERTIFICATE_FILTER para la correlación de certificados.
Avoid trouble: No se da soporte a los nombres alternativos de sujeto (SAN)
como elementos de filtro de certificado.
gotcha
- Pulse Aplicar.
Cuando modifique algún
filtro de usuario o grupo LDAP en el panel Valores LDAP avanzados,
pulse
Aplicar. Si pulsa
Aceptar se desplazará hasta el panel Registro LDAP autónomo, que
contiene el tipo de directorio LDAP anterior, en lugar del tipo de directorio personalizado. Si pulsa
Aceptar o
Aplicar en
el panel Registro LDAP autónomo guarda el tipo de directorio LDAP de niveles anteriores y los filtros por omisión de dicho directorio. Esta acción altera temporalmente los cambios realizados en los filtros. Para evitar sobrescribir los cambios, puede realizar una de las acciones
siguientes:
- Pulse Aplicar en el panel Valores del registro de usuario LDAP
(Advanced Lightweight Directory Access Protocol). Pulse Seguridad > Seguridad global y cambie el
tipo de repositorio de cuentas de usuario a Registro personalizado autónomo.
- Seleccione el tipo Personalizado desde el panel Registro LDAP autónomo.
Pulse Aplicar y, a continuación, cambie los filtros pulsando el
panel Valores del registro de usuario LDAP (Advanced Lightweight Directory
Access Protocol). Una vez realizados los cambios, pulse Aplicar o Aceptar.
La validación de los cambios no se lleva a cabo en este panel. La validación se lleva a cabo al pulsar Aceptar o Aplicar en
el panel Seguridad global.
Si es la primera vez que realiza el proceso de habilitación de
la seguridad,
efectúe los pasos restantes y vaya al panel Seguridad global.
Seleccione Registro LDAP autónomo como repositorio de cuentas de usuario.
Si la seguridad ya está habilitada y se ha modificado alguna información
en este panel, vaya al panel Seguridad global y pulse Aceptar o
Aplicar para validar los cambios. Si no se validan los cambios, es
posible que el servidor no se inicie.
Resultados
Estos pasos dan como resultado la configuración de los filtros
de búsqueda LDAP. Estos pasos son necesarios para modificar los filtros de
usuarios y grupos para un tipo de directorio LDAP concreto. Estos pasos también se utilizan para configurar filtros de certificados
para que correlacionen certificados con entradas en el servidor LDAP.
Qué hacer a continuación
- Valide esta configuración pulsando Aceptar o Aplicar en
el panel Seguridad global.
- Guarde, detenga e inicie todos los servidores del producto, incluida la célula, los nodos y todos los servidores de aplicaciones para que entren en vigor las modificaciones de este panel.
- Una vez iniciado el servidor, realice todas las tareas relacionadas con
la seguridad (obtener usuarios, grupos, etc.) para verificar que los cambios en los
filtros se han realizado.