Utilización de servidores de directorios específicos como servidor LDAP
Se proporciona información importante sobre los servidores de directorios a los que se da soporte como servidores LDAP (Lightweight Directory Access Protocol en WebSphere Application Server.
Antes de empezar
Acerca de esta tarea
Es de esperar que otros servidores LDAP sigan la especificación LDAP. El soporte está limitado sólo a estos servidores de directorios específicos. Para utilizar cualquiera de los demás servidores de directorios, utilice el tipo de directorio personalizado de la lista y rellene los filtros necesarios para dicho directorio.
Para mejorar el rendimiento de las búsquedas LDAP, los filtros por omisión para IBM® Tivoli Directory Server, Sun ONE y Active Directory están definidos de tal modo que cuando busque un usuario, el resultado constará de toda la información relevante del usuario (ID de usuario, grupos, etc.). Como resultado, el producto no llama al servidor LDAP varias veces. Esta definición sólo es posible en estos tipos de directorio, que dan soporte a las búsquedas en las que se puede obtener toda la información de un usuario.
Si utiliza IBM Directory Server, seleccione la opción Ignorar mayúsculas/minúsculas para autorización. Esta opción es necesaria ya que, cuando se obtiene la información de grupo a partir de los atributos de objeto de usuario, la distinción entre mayúsculas y minúsculas no es la misma que cuando se obtiene la información de grupo directamente. Para que la autorización se realice correctamente en este caso, realice un comprobación sin tener en cuenta las mayúsculas y minúsculas y verifique los requisitos para la opción Ignorar mayúsculas para autorización.
El servidor de seguridad LDAP
para la plataforma z/OS está soportado cuando se utiliza el programa de
fondo TDBM (Technical Database Management) de DB2. Utilice los filtros de
SecureWay
Directory Server para conectar con el servidor de seguridad LDAP para la
plataforma z/OS.
Utilización de los servicios de directorios como servidor LDAP
El soporte para los grupos que contienen otros grupos o grupos anidados depende de las versiones específicas de WebSphere Application Server y LDAP. Para obtener más información, consulte Soporte de grupos dinámicos y anidados para LDAP.
- Utilización de IBM
Tivoli Directory Server como servidor LDAP
Para utilizar IBM Tivoli Directory Server, anteriormente conocido como IBM Directory Server, seleccione IBM Tivoli Directory Server como tipo de directorio.
Puede seleccionar el tipo de directorio IBM Tivoli Directory Server o SecureWay para IBM Directory Server.
Estos dos tipos se diferencian en la búsqueda de miembros de grupo. Es recomendable que elija IBM Tivoli Directory Server para obtener un rendimiento óptimo durante el tiempo de ejecución. En IBM Tivoli Directory Server, la pertenencia a un grupo es un atributo operativo. Para realizar la búsqueda de miembros de grupo con este atributo, enumere el atributo ibm-allGroups para la entrada. Todos los miembros del grupo, incluidos los grupos estáticos, grupos dinámicos y grupos anidados, pueden devolverse con el atributo ibm-allGroups.
WebSphere Application Server da soporte a grupos dinámicos, grupos anidados y grupos estáticos de IBM Tivoli Directory Server mediante el atributo ibm-allGroups. Para utilizar este atributo en una aplicación de autorización de seguridad, hágalo mediante coincidencias que ignoren las mayúsculas y minúsculas, de modo que el atributo ibm-allGroups devuelva todos los valores de atributo en mayúsculas.
Importante: Se recomienda que no instale IBM Tivoli Directory Server Versión 6.0 en la misma máquina en la que ha instalado la Versión 9.0. No puede utilizar Versión 9.0 como la consola de administración para IBM Tivoli Directory Server. Si IBM Tivoli Directory Server Versión 6.0 y Versión 9.0 se instalan en la misma máquina, es posible que se produzcan conflictos de puertos.Si debe instalar IBM Tivoli Directory Server Versión 6.0 y Versión 9.0 en la misma máquina, tenga en cuenta la siguiente información:
- Durante el proceso de instalación de IBM Tivoli Directory Server, debe seleccionar la herramienta de administración Web Versión 5.1.1.
- Instale Versión 9.0.
- Cuando instale Versión 9.0, cambie el número de puerto del servidor de aplicaciones.
- Es posible que necesite ajustar las variables de entorno de WebSphere Application Server en Versión 9.0 para WAS_HOME y WAS_INSTALL_ROOT (o APP_SERVER_ROOT para IBM i). Para cambiar las variables utilizando la consola administrativa, pulse Entorno > Variables de WebSphere.
- Utilización de Lotus Domino Enterprise Server como servidor
LDAPSi selecciona Lotus Domino Enterprise Server Versión 6.5.4 o Versión 7.0 y el atributo shortname no está definido en el esquema, puede realizar cualquiera de las acciones siguientes:
- Cambie el esquema para añadir atributo shortname.
- Modificar el filtro de correlación de ID de usuarios de modo que sustituya el atributo shortname por cualquier otro atributo (preferiblemente uid). Por ejemplo, cambie person:shortname por person:uid.
El filtro de correlación de ID de usuario ha cambiado para utilizar el atributo uid en lugar de shortname, dado que la versión actual de Lotus Domino no crea el atributo shortname por omisión. Si desea utilizar el atributo shortname, defínalo en el esquema y cambie el filtro de correlación de ID de usuario.Correlación de ID de usuario : person:shortname
- Utilización de Sun ONE Directory Server como
servidor LDAPPuede seleccionar Sun ONE Directory Server para el sistema Sun ONE Directory Server. En Sun ONE Directory Server, la clase de objeto es el atributo por omisión groupOfUniqueName cuando se crean grupos. Para obtener un mejor rendimiento, WebSphere Application Server utiliza el objeto User para localizar los miembros del grupo de usuarios del atributo nsRole. Cree el grupo a partir de rol. Si desea utilizar el atributo groupOfUniqueName para buscar grupos, especifique su propio valor de filtro. Los roles unifican las entradas. Los roles están diseñados para que sean más eficaces y fáciles de utilizar por las aplicaciones. Por ejemplo, una aplicación puede localizar el rol de una entrada mediante la enumeración de todos los roles de una determinada entrada, en lugar de seleccionar un grupo y examinar toda la lista de miembros. Al utilizar roles, puede crear un grupo utilizando un:
- Rol gestionado
- Rol filtrado
- Rol anidado
- Utilización de Microsoft Active Directory Server como servidor
LDAP
Para utilizar Microsoft Active Directory como servidor LDAP para la autenticación con WebSphere Application Server, debe seguir algunos pasos específicos. De manera predeterminada, Microsoft Active Directory no permite consultas LDAP anónimas. Para crear consultas LDAP o para examinar el directorio, se debe enlazar un cliente LDAP al servidor LDAP utilizando el nombre distinguido (DN) de una cuenta que tenga autorización para buscar y leer los valores de los atributos LDAP, por ejemplo la información de usuarios y grupos, necesaria para Application Server. Para realizar la búsqueda de miembros de grupo en Active Directory, enumere el atributo memberof de una determinada entrada de usuario, en lugar de examinar toda la lista de miembros de cada grupo. Si modifica el comportamiento por omisión de modo que se examine cada grupo, puede cambiar el campo Correlación de ID de miembros de grupo de memberof:member a group:member.
En los pasos siguientes se describe cómo configurar Microsoft Active Directory como servidor LDAP.