Opciones para buscar la pertenencia a grupos dentro de un bosque de Microsoft Active Directory
Para autenticar usuarios es necesario buscar la pertenencia a grupos con el bosque de Microsoft Active Directory. Existen diversos métodos para buscar la pertenencia a grupos dentro del bosque de Microsoft Active Directory.
La ilustración siguiente muestra un ejemplo de pertenencia a grupos con el bosque de Microsoft Active Directory. Esta figura se utiliza para explicar los métodos de búsqueda de la pertenencia a grupos.
Figura 1. Búsqueda de la pertenencia a grupos. Ilustración de métodos de búsqueda de pertenencia a grupos.

- La opción 1 no utiliza grupos anidados, y los pasos siguientes describen el
proceso de búsqueda de la pertenencia a grupos con una estructura organizativa
hipotética.
- Cree un grupo global de empleados NA.
- Cree un grupo global de empleados EU.
- Correlacione el rol Java™ Platform Enterprise Edition (Java EE) con empleados NA + empleados EU. Esta correlación puede ser difícil si hay demasiados subdominios.
- Habilite las referencias.En WebSphere Application Server Versión 6.1, utilice los repositorios federados, específicamente:
- Utilice un reino federado.
- Añada el controlador de dominios de nivel superior de Microsoft Active Directory al repositorio. No añada controladores de subdominio. Como consecuencia, se producen numerosas coincidencias al efectuar las búsquedas de ID de usuarios. Estas coincidencias provocan un error en el inicio de sesión del usuario.
- Seleccione "Soporte de referencias a otros servidores LDAP" = "follow".
- La opción 2 utiliza grupos universales.
- Coloque los usuarios individuales en el grupo universal Empleados.Requisitos:
- Los niveles funcionales de dominio nativo de Windows 2003 son necesarios.
- Los ID de usuario deben estar contenidos directamente en los grupos universales.
- Correlacione el rol Java EE con Empleados.
- Conectarse a cualquier catálogo global del bosque.Consejo: Esta opción reduce la cantidad de tráfico de búsqueda de directorio. WebSphere Application Server no tiene que seguir todas las referencias en el árbol de directorio. Es decir, cada controlador de dominio puede resolver totalmente la información de grupo de forma local.
- Coloque los usuarios individuales en el grupo universal Empleados.
- La opción 3 utiliza grupos anidados.
- Cree el grupo universal, Empleados.
- Cree Empleados NA y Empleados EU como grupos globales y conviértalos en
miembros del grupo universal Empleados.Requisitos: Niveles funcionales de dominio nativo de Windows.
- Correlacione el rol Java JEE con "Empleados".
- Habilite las referencias.En WebSphere Application Server Versión 6.1, utilice los repositorios federados, específicamente:
- Utilice un reino federado.
- Añada el controlador de dominios de nivel superior de Active Directory al repositorio. No añada los controladores de subdominio, ya que esto resultará en diversas coincidencias al realizar la búsqueda de ID de usuarios y se producirá un error del inicio de sesión.
- Seleccione "Soporte de referencias a otros servidores LDAP" = "follow".
- Habilite los grupos anidados.
Consejo: Esta opción ofrece el enfoque óptimo si utiliza WebSphere Application Server Versión 6.1 o posterior. Antes de WebSphere Application Server versión 6.1, las referencias no estaban admitidas oficialmente.
Resumen
En la tabla siguiente se resume cómo buscar la pertenencia a grupos dentro de un bosque de Microsoft Active Directory.Pertenencia a grupos | Correlacionar roles Java EE con | Enlazar con qué LDAP | Habilitar | Soportado en WebSphere Application Server Versión | Comentarios |
---|---|---|---|---|---|
Grupos globales | Colección de grupos globales | Controlador de dominio superior utilizando el puerto 389/636 | Referencias |
|
|
Grupos universales | Grupos universales | Cualquier catálogo global, que utiliza el puerto 3268 | Todos | ||
Grupos globales en grupos universales | Grupos universales | Controlador de dominio superior utilizando el puerto 389/636 | Referencias, anidamiento |
|
No se puede utilizar el nivel funcional de dominio mixto de Windows |
Configuración del uso del atributo objectCategory
Un repositorio federado utiliza el atributo objectCategoryde forma predeterminada para los filtros de búsqueda de usuarios De Active Directory. Puede asegurarse de que el repositorio federado esté configurado para utilizar el atributo objectCategory. Por ejemplo, el archivo de configuración de repositorios federados, wimconfig.xml, debe ser como se muestra en el ejemplo siguiente:<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
Configurar el filtro de usuario y el filtro de grupo (propiedades avanzadas) como el
ejemplo siguiente:
Filtro de usuario: (&(sAMAccountName=%v)(objectCategory=user))
Filtro de grupo: (&cn=%v)(objectCategory=group)
Siga las
instrucciones siguientes desde la consola administrativa para completar el filtro de
búsqueda con el atributo objectCategory.
- Pulse Seguridad > Seguridad global.
- En Definiciones de reino disponibles, seleccione Repositorios federados y a continuación Configurar. En un entorno de dominio de seguridad múltiple, pulse Dominios de seguridad > nombre_dominio. En Atributos de seguridad, expanda Reinos de usuario y pulse Personalizar para este dominio. Seleccione el tipo de reino como Repositorios federados y pulse Configurar.
- En Elementos relacionados, pulse Gestionar repositorios.
- Seleccione Bosque > Tipos de entidad LDAP > PersonAccount. En Propiedades generales, busque el recuadro Filtro de búsqueda.
- Rellene el filtro de búsqueda.
(objectCategory=user)
