Autenticación mediante Microsoft Active Directory

Muchas instalaciones utilizan Microsoft Active Directory como su componente primario para gestionar la autenticación y los datos de usuario. Una parte de Microsoft Active Directory proporciona un servicio de LDAP (Lightweight Directory Access Protocol). WebSphere Application Server da soporte a LDAP y, por lo tanto, WebSphere Application Server da soporte a Microsoft Active Directory.

Microsoft Active Directory es totalmente compatible con LDAP, pero expone la información LDAP de forma que resulta difícil obtener información de directorio para WebSphere Application Server.

WebSphere Application Server funciona de una manera que presupone que un único directorio LDAP contiene toda la información necesaria para trabajar. Con configuraciones complejas de Microsoft Active Directory (no es el caso), las instalaciones de WebSphere Application Server - Microsoft Active Directory deben manejar desafíos únicos por la forma en que se distribuyen los datos en los controladores de dominio de un bosque.

Las instalaciones de Microsoft Active Directory suelen incorporar el uso de un bosque. Por lo tanto, las preguntas de seguridad que pertenecen a la exclusividad de ID de usuario, la obtención fiable de información de grupo de usuarios y la distribución de pertenencia a grupos en los bosques son muy importantes.

En la figura siguiente se muestra un entorno de instalación típico de Microsoft Active Directory.

Figura 1. Bosques de Microsoft Active Directory . Ilustración de bosques de Microsoft Active Directory.Ilustración de los bosques de Microsoft Active Directory.

Esta figura ilustra dos bosques de uno o más árboles. Un árbol puede contener uno o más dominios donde el dominio es la única unidad atómica que constituye la base del entorno construido. Cada dominio está formado por componentes de dominio principal del nombre distinguido (DN), por ejemplo, dc=acme, dc=com. Un bosque puede ampliar la confianza a otros bosques (esta confianza se basa en Kerberos).

Configuraciones de Microsoft Active Directory con WebSphere Application Server

Puede haber una variedad de configuraciones de Microsoft Active Directory para WebSphere Application Server:
  • Configuración simple
  • Configuración típica
  • Configuraciones menos típicas
  • Configuraciones poco comunes

La configuración más simple consta de un registro LDAP autónomo que representa a un solo dominio. Esta configuración es la más adecuada para WebSphere Application Server y Microsoft Active Directory. En esta configuración, Microsoft Active Directory se admite a través de la implementación del registro de usuarios LDAP autónomo de WebSphere Application Server. También puede acceder a este único dominio de Microsoft Active Directory a través de un registro de repositorios federados, que contenga un repositorio LDAP individual.

Además de la configuración de Microsoft Active Directory de dominio único sencillo se puede llevar a cabo una configuración típica de Microsoft Active Directory, que se compone de un único árbol en un bosque donde cada rama del árbol es un dominio. Un ejemplo de esta configuración, que consta de un único árbol de cuatro dominios (A, B, C, D), se muestra en el ejemplo siguiente:

Figura 2. Configuración de bosque típica . Configuración típica de bosque.Ilustración de una configuración típica de bosque
Las configuraciones como ésta a menudo tienen dominios que se organizan por unidad geográfica o unidad organizativa. La configuración del registro de WebSphere Application Server que es necesaria para utilizar esta implementación de "un sólo árbol" de Microsoft Active Directory necesita utilizar los repositorios federados. Esta configuración contiene un registro LDAP para correlacionar las entradas de varios repositorios de usuario individuales en un único repositorio virtual. Estas configuraciones crean un repositorio de usuarios federados con un único reino con nombre y un subárbol LDAP dentro del repositorio único. La raíz del repositorio se correlaciona con una entrada base dentro del repositorio federado, que es el punto de partida dentro del espacio de nombres jerárquico del reino virtual. Las búsquedas LDAP de esta configuración continúan con el enlace al objeto de dominio superior y las referencias LDAP siguientes.
Avoid trouble Avoid trouble: El registro LDAP autónomo en WebSphere Application Server no da soporte a referencias LDAP y no se puede utilizar en una configuración de WebSphere Application Server - Microsoft Active Directory.gotcha

Las configuraciones menos típicas de WebSphere Application Server - Microsoft Active Directory derivan de fusiones de unidades organizativas en una gran empresa. En aquellas situaciones en las que un único bosque de dominios podía resultar suficiente para la empresa, la fusión de varias unidades organizativas nuevas puede añadir árboles al bosque, o incluso añadir al entorno más de un único bosque. En este entorno, la configuración LDAP de WebSphere Application Server requiere llevar a cabo un diseño más cuidadoso. Debe utilizar el registro de repositorios federados en un entorno de este tipo, con repositorios LDAP independientes que se correlacionan con la parte superior de cada árbol del bosque. De nuevo, si existe un árbol de Microsoft Active Directory bajo el dominio de nivel superior, las referencias LDAP deben habilitarse para el registro LDAP. El bosque resultante de la fusión puede tener un aspecto similar al de la figura siguiente:

Figura 3. Configuraciones menos típicas . Configuraciones menos típicas que representan la fusión de árbolesConfiguraciones menos típicas que ilustran la fusión de los árboles

Las configuraciones poco comunes se componen de dominios de Microsoft Active Directory que se configuran si se da una combinación de un bosque de usuarios y un bosque de grupos. Los usuarios se importan como objetos ForeignSecurityPrincipals en el bosque de grupos. Los grupos contienen los nombres distinguidos (DN) de los objetos ForeignSecurityPrincipals como miembros.

En este tipo de configuración no se producen las búsquedas de grupo directas. Las búsquedas son relegadas a una consulta de grupo estático entre varios registros. Esta configuración requiere un registro de usuarios personalizado. Sin embargo, los registros de WebSphere Application Server no admiten este tipo de configuración. Consulte la figura siguiente.

Figura 4. Bosque de modelo de recurso . Ilustración de un bosque de modelo de recursoIlustración de un bosque de modelo de recurso.

Utilización de un bosque de Microsoft Active Directory como LDAP - filtro de usuario

Autenticar un usuario en varios repositorios, o a través de un LDAP distribuido, como una configuración de bosque de Microsoft Active Directory puede constituir un reto. En cualquier búsqueda del registro completo, la autenticación falla si hay más de una coincidencia en tiempo de ejecución como consecuencia de resultados ambiguos. En un entorno de varios dominios de Microsoft Active Directory, el administrador de WebSphere Application Server debe considerar que el ID exclusivo predeterminado en Microsoft Active Directory es el atributo sAMAccountName de un usuario. Se garantiza la exclusividad de los ID de usuario dentro de un único dominio, pero no es posible garantizar que un ID de usuario dato sea exclusivo en un árbol o bosque. Consulte el tema "Autenticación de usuarios con registros LDAP en un bosque de Microsoft Active Directory" para comprender cómo buscar ID de usuarios dentro de un bosque de Microsoft Active Directory con el atributo sAMAccountName de un usuario.

Avoid trouble Avoid trouble: Antes de seleccionar uno de estos escenarios, consulte la información adecuada de Microsoft Active Directory para comprender las implicaciones de los escenarios en la planificación de la configuración.gotcha

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad
File name: csec_was_ad.html