WebSphere Application Server da
soporte a Microsoft Active Directory. Muchas
instalaciones utilizan Microsoft Active
Directory como su componente primario para gestionar la autenticación y los datos de
usuario. Autenticar un usuario en varios repositorios, o a través de un LDAP (Lightweight
Directory Access Protocol) distribuido, como un bosque de
Microsoft Active Directory puede constituir
un reto. En cualquier búsqueda del registro completo, la autenticación falla si hay más
de una coincidencia en tiempo de ejecución como consecuencia de resultados ambiguos.
Acerca de esta tarea
Se garantiza la exclusividad de los ID de usuario dentro de un único dominio,
pero no es posible garantizar que un ID de usuario dado sea exclusivo en un árbol o
bosque. En la figura siguiente se muestra un ejemplo de la condición de un ID de
usuario que no es exclusivo en un árbol o bosque.
Figura 1. Estrategia de búsqueda de bosque..
Ilustración de búsqueda de sAMAccountName no exclusivo en todo el bosque.
Autenticar usuarios a través de los árboles o bosques puede ser una tarea difícil. Siga
estos pasos.
Nota: Debe asegurarse de que el servicio del navegador del sistema Microsoft Windows esté habilitado en el sistema
operativo cuando se cumplan las condiciones siguientes:
- El dominio primario está gestionado por Microsoft Active Directory.
- El PDC (controlador principal de dominio) existe en una subred distinta a WebSphere Application Server.
- Establece el registro de usuarios para WebSphere Application Server en el sistema operativo local y no en LDAP (Lightweight Directory Access Protocol).
Para obtener más información sobre cómo establecer y verificar que el servicio de navegador del sistema
Windows Microsoft está habilitado, consulte la documentación de Microsoft correspondiente al sistema operativo.
Procedimiento
- Analice el constructor de Microsoft
Active Directory que define la instalación. El análisis puede dar como resultado las formas siguientes:
- Registro LDAP único - Configuración simple.
- Repositorio federado (un bosque) - Configuración típica.
- Fusión de repositorios federados (fusión de árboles en un bosque) - Configuración
menos típica.
- Combinación de bosques de usuarios y grupos - Configuración poco habitual
- Desarrolle estrategias para la búsqueda de usuarios que se corresponda con su
instalación de Microsoft Active Directory. Recuerde que se garantiza la exclusividad de los ID de usuario dentro de un único
dominio, pero no es posible garantizar que un ID de usuario dado sea exclusivo en un
árbol o bosque.
- Evalúe mediante la realización de pruebas si las estrategias de búsqueda de
autenticación autentican correctamente a los usuarios en la instalación de
Microsoft Active Directory.
Resultados
Podrá autenticar usuarios con registros LDAP en un bosque de Microsoft Active
Directory.
Qué hacer a continuación
Avoid trouble: Antes de seleccionar uno de estos
escenarios, consulte la información adecuada de
Microsoft Active Directory para comprender
las implicaciones de los escenarios en la planificación de la configuración.
gotcha