Configuración de los registros de usuario de LDAP (Lightweight Directory Access Protocol)

Para acceder a un registro de usuarios mediante LDAP (Lightweight Directory Access Protocol), debe conocer un nombre de usuario válido (ID), la contraseña, el host del servidor y el puerto del servidor del registro, el nombre distinguido (DN) básico y, si es necesario, el DN de enlace y la contraseña de enlace. Puede elegir cualquier usuario válido en el registro de usuario que se pueda buscar. Puede utilizar cualquier ID de usuario que tenga el rol administrativo para iniciar la sesión.

Antes de empezar

Nota: En este tema se hace referencia a uno o más de los archivos de registro del servidor de aplicaciones. Como alternativa recomendada, puede configurar el servidor para utilizar la infraestructura de registro y rastreo HPEL en lugar de utilizar los archivos SystemOut.log , SystemErr.log, trace.log y activity.log en sistemas distribuidos y de IBM® i. Puede también utilizar HPEL junto con sus recursos de registro nativos de z/OS. Si utiliza HPEL, puede acceder a toda la información de registro y rastreo utilizando la herramienta de línea de mandatos LogViewer desde el directorio bin de perfil de servidor. Consulte la información sobre la utilización de HPEL para resolver problemas de aplicaciones para obtener más información sobre la utilización de HPEL.

Hay dos identidades diferentes que se utilizan para fines de seguridad: el ID de usuario para funciones administrativas y la identidad del servidor. Si se ha habilitado la seguridad administrativa, se autentican con el registro el ID de usuario y la contraseña para las funciones administrativas. Si se produce un error de autenticación, no se concederá el acceso a la consola administrativa ni se pueden realizar tareas con los scripts wsadmin. Es importante elegir un ID y una contraseña que no caduquen ni se modifiquen a menudo. Si debe cambiar este ID de usuario o contraseña en el registro, asegúrese de que los cambios se realizan cuando todos los servidores de aplicaciones estén en ejecución. Cuando realice cambios en el registro, revise el artículo sobre Registros de LDAP (Lightweight Directory Access Protocol) autónomo (LDAP) antes de empezar esta tarea.

La identidad del servidor se utiliza para la comunicación de procesos internos. Como parte de esta tarea, puede cambiar la identidad del servidor del ID predeterminado generado automáticamente a un ID de servidor y contraseña del repositorio LDAP.

Procedimiento

  1. En la consola administrativa, pulse Seguridad > Seguridad global.
  2. En Repositorio de cuentas de usuario,pulse la lista desplegable Definiciones de reino disponibles, seleccione Registro LDAP autónomo y pulse Configurar.
  3. Escriba un nombre de usuario válido en el campo Nombre de usuario administrativo primario. El nombre de usuario es el nombre abreviado del usuario que se define mediante el filtro de usuario en el panel Valores LDAP avanzados.
  4. Determine si va a especificar la identidad de usuario que se utiliza para la comunicación de procesos internos. Las células que contienen nodos de la Versión 5.1 o 6.x requieren una identidad de usuario de servidor que esté definida en el repositorio de usuarios activo. De forma predeterminada, la opción Identidad de servidor generada automáticamente está habilitada y el servidor de aplicaciones genera la identidad del servidor. No obstante, puede seleccionar la opción La identidad del servidor que se almacena en el repositorio para especificar la identidad del servidor y su contraseña asociada.
  5. En la lista Tipo seleccione el tipo de servidor LDAP que se ha de utilizar. El tipo de servidor LDAP determina los filtros por omisión que utiliza WebSphere Application Server. Estos filtros por omisión cambian el campo Tipo a Personalizado, lo que indica que se están utilizando los filtros personalizados. Esta acción se produce después de pulsar Aceptar o Aplicar en el panel Valores LDAP avanzados. Elija el tipo Personalizado en la lista y modifique los filtros de usuario y grupo para que utilicen otros servidores LDAP, si es necesario.

    Los usuarios de IBM Tivoli Directory Server pueden seleccionar IBM Tivoli Directory Server como tipo de directorio. Utilice el tipo de directorio IBM Tivoli Directory Server para obtener un mejor rendimiento.

    Atención: IBM SecureWay Directory Server ha cambiado su nombre por el de IBM Tivoli Directory Server en WebSphere Application Server versión 6.1.
  6. Escriba el nombre de host plenamente cualificado del servidor LDAP en el campo Host. Puede especificar la dirección IP o el nombre del sistema de nombres de dominio (DNS).
  7. Escriba el número de puerto del servidor LDAP en el campo Puerto. El nombre de host y el número de puerto representan el reino de este servidor LDAP en la célula de WebSphere Application Server. Por lo tanto, si los servidores de distintas células se comunican entre sí con símbolos LTPA (Lightweight Third Party Authentication), estos reinos debe ser iguales en todas las células.

    El valor por omisión es 389. Si hay varios programas WebSphere Application Server instalados y configurados para ejecutarse en el mismo dominio de inicio de sesión único (SSO) o si WebSphere Application Server interactúa con una versión anterior de WebSphere Application Server, es importante que el número de puerto coincida con todas las configuraciones. Por ejemplo, si el puerto LDAP se ha especificado explícitamente como 389 en una configuración de la versión 5.x y un servidor WebSphere Application Server de la versión 6.0.x va a interactuar con el servidor de la versión 5.x, compruebe que el puerto 389 se haya especificado explícitamente para el servidor de la versión 6.0.x.

    Puede establecer la propiedad personalizada com.ibm.websphere.security.ldap.logicRealm para cambiar el valor del nombre del reino que se ubica en la señal. Para obtener más información, consulte el tema Propiedades personalizadas de seguridad.

  8. Escriba el nombre distinguido (DN) básico en el campo Nombre distinguido (DN) básico. El DN básico indica el punto de partida para las búsquedas en este servidor de directorios LDAP. Por ejemplo, para un usuario con un DN cn=John Doe, ou=Rochester, o=IBM, c=US, especifique el DN como una de las siguientes opciones, dando por supuesto el sufijo c=us:
    • ou=Rochester, o=IBM, c=us
    • o=IBM, c=us
    • c=us
    Para fines de autorización, este campo es sensible a las mayúsculas y minúsculas por omisión. Haga coincidir las mayúsculas y minúsculas en el servidor de directorios. Si se recibe una señal (por ejemplo, de otro otra célula o de Lotus Domino) el DN básico del servidor debe coincidir exactamente con el DN básico de la otra célula o servidor Domino. Si no es necesario tener en cuenta la sensibilidad a mayúsculas y minúsculas para la autorización, habilite la opción Ignorar mayúsculas/minúsculas para autorización.

    En WebSphere Application Server, el nombre distinguido se normaliza según la especificación LDAP (Lightweight Directory Access Protocol). La normalización consiste en eliminar espacios en el nombre distinguido base antes o después de las comas y de los signos de igual. Un ejemplo de un nombre distinguido básico no normalizado es o = ibm, c = us u o=ibm, c=us. Un ejemplo de un nombre distinguido básico normalizado es o=ibm,c=us.

    Para interoperar entre WebSphere Application Server Versión 6.0 y versiones posteriores, debe especificar un nombre distinguido básico normalizado en el campo Nombre distinguido básico. En WebSphere Application Server, Versión 6.0 o posteriores, la normalización se produce automáticamente durante la ejecución.

    Este campo es necesario para todos los directorios LDAP, excepto para el directorio Lotus Domino. El campo Nombre distinguido básico es opcional para el servidor Domino.

  9. Opcional: Entre el nombre DN de enlace en el campo Nombre distinguido de enlace. El DN de enlace es necesario si no se pueden realizar enlaces anónimos en el servidor LDAP para obtener información de usuarios y grupos. Si el servidor LDAP está configurado para utilizar enlaces anónimos, deje este campo en blanco. Si no se especifica un nombre, el servidor de aplicaciones realiza el enlace de forma anónima. Consulte la descripción del campo Nombre distinguido básico para ver ejemplos de nombres distinguidos.
  10. Opcional: Entre la contraseña correspondiente al DN de enlace en el campo Contraseña de enlace.
  11. Opcional: Modifique el valor de Tiempo de espera de la búsqueda. Este valor es el máximo período de tiempo que el servidor LDAP espera a enviar una respuesta al cliente del producto antes de detener la solicitud. El valor por omisión es de 120 segundos.
  12. Compruebe que la opción Reutilizar conexión esté seleccionada. Esta opción especifica que el servidor debe reutilizar las conexiones LDAP. Deseleccione esta opción en los casos excepcionales en que se utilice un direccionador para enviar las solicitudes a varios servidores LDAP y éste no dé soporte a la afinidad. Deje esta opción seleccionada en las demás situaciones.
  13. Opcional: Verifique que está habilitada la opción Ignorar mayúsculas para autorización. Cuando se habilita esta opción, la comprobación de autorización no será sensible a las mayúsculas/minúsculas. Normalmente, para la comprobar la autorización es necesario comprobar el DN completo de un usuario, que es exclusivo en el servidor LDAP, y es sensible a las mayúsculas y minúsculas. No obstante, cuando utilice los servidores LDAP IBM Directory Server o Sun ONE (anteriormente iPlanet) Directory Server, debe habilitar esta opción, ya que la información de grupo que se obtiene de los servidores LDAP no es coherente en las mayúsculas y minúsculas. Esta incoherencia sólo afecta a la comprobación de autorización. De lo contrario, este campo es opcional y se puede habilitar cuando sea necesario realizar una comprobación de autorización sensible a las mayúsculas y minúsculas. Por ejemplo, puede seleccionar esta opción cuando utilice certificados y el contenido de los certificados no coincidan con las mayúsculas/minúsculas de la entrada en el servidor LDAP.

    También puede habilitar la opción Ignorar mayúsculas/minúsculas para autorización cuando utilice el inicio de sesión único (SSO) entre el producto y Lotus Domino. El valor por omisión es habilitado.

  14. Opcional: Seleccione la opción Habilitado para SSL si desea utilizar las comunicaciones SSL con el servidor LDAP.
    Importante: Este paso sólo será satisfactorio siempre que primero se añada al almacén de confianza el certificado de firmante para LDAP que se utilizará con el tiempo. Si el certificado de firmante de LDAP no se añade al almacén de confianza, ocurrirá lo siguiente:
    • La consola administrativa emitirá un error.
    • El systemout.log del gestor de despliegue (DMGR) muestra el mensaje CWPKI0022E: ERROR EN EL RECONOCIMIENTO DE COMUNICACIÓN que indica que es necesario añadir el certificado de firmante al almacén de confianza.

    Para asegurar que no se produzca ningún error en la operación en este paso, primero es necesario extraer a un archivo el certificado de firmante de LDAP y enviar dicho archivo a la máquina donde se encuentra WebSphereApplication Server. Entonces podrá añadir el certificado al almacén de confianza que se define para LDAP. De esta forma, se asegura de que las acciones restantes para este paso serán satisfactorias.

    Si selecciona la opción Habilitado para SSL, puede seleccionar la opción Gestionado centralmente o Utilizar alias SSL específico.
    Gestionado centralmente
    Permite especificar una configuración SSL para un ámbito en particular como la célula, el nodo, el servidor o el clúster de una ubicación. Para utilizar la opción Gestionado centralmente, debe especificar la configuración SSL para el conjunto de puntos finales en particular. El panel Gestionar configuraciones de seguridad de punto final y zonas de confianza muestra todos los puntos finales de entrada y salida que utilizan el protocolo SSL. Si expande la sección Entrada o Salida del panel y pulsa en el nombre del nodo, puede especificar una configuración SSL que se utilice para todos los puntos finales de ese nodo. Para registros LDAP, puede alterar temporalmente la configuración SSL heredada especificando una configuración SSL para LDAP. Para especificar una configuración SSL para LDAP, siga estas instrucciones:
    1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final y zonas de confianza.
    2. Expanda Salida > nombre_célula > Nodos > nombre_nodo > Servidores > nombre_servidor > LDAP.
    Utilizar alias SSL específico
    Seleccione la opción Utilizar alias SSL específico si tiene previsto seleccionar una de las configuraciones SSL en el menú.
    Esta configuración sólo se utiliza cuando SSL esté habilitada para LDAP. El valor por omisión es DefaultSSLSettings. Puede pulsar el nombre de una configuración existente para modificarla completar los siguientes pasos para crear una nueva configuración SSL:
    1. Pulse Seguridad > Gestión de claves y certificados SSL.
    2. En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final .
    3. Seleccione un nombre_configuración SSL (Capa de sockets seguros) para ámbitos seleccionados como, por ejemplo, una célula, nodo, servidor o clúster.
    4. En Elementos relacionados, pulse Configuraciones SSL.
    5. Pulse Nuevo.
  15. Pulse Aceptar o Aplicar hasta que vuelva al panel Seguridad global y, en la página Seguridad global, pulse Guardar, para asegurarse de que se guarde la configuración LDAP.
  16. Compruebe si Definiciones del reino disponibles se ha establecido en Registro LDAP autónomo. Si no es así, selecciónelo en el menú desplegable y pulse Establecer como actual y Aplicar.

Resultados

Este conjunto de pasos es necesario para configurar el registro de usuario LDAP. Este paso es necesario como parte del proceso de habilitación de la seguridad de WebSphere Application Server.

Qué hacer a continuación

  1. Si está habilitando la seguridad, lleve a cabo los pasos restantes como se especifica en Habilitación de la seguridad del dominio.
  2. [z/OS]Si desea utilizar la autorización System Authorization Facility (SAF) con el registro LDAP, consulte Consideraciones de SAF (System Authorization Facility) para los niveles de sistema operativo y aplicación para obtener más información.
  3. Para que los cambios realizados en este panel entren en vigor, guarde, detenga y reinicie todos los servidores del producto (gestores de despliegue, nodos y servidores de aplicaciones). Si el servidor se inicia sin sufrir ninguna anomalía significa que la configuración es correcta.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldap
File name: tsec_ldap.html