Configuración de los filtros de búsqueda de LDAP (Lightweight Directory Access Protocol)

Utilice este tema para configurar los filtros de búsqueda LDAP. Estos pasos son necesarios para modificar filtros de grupo y usuario existentes para un tipo de directorio LDAP concreto, también para configurar filtros de certificados para correlacionar certificados con entradas en el servidor LDAP.

Antes de empezar

WebSphere Application Server utiliza los filtros LDAP (Lightweight Directory Access Protocol) para buscar y obtener información sobre usuarios y grupos de un servidor de directorio LDAP. Se proporciona un conjunto de filtros por omisión para cada servidor LDAP al que el producto da soporte. Estos filtros se pueden modificar para adaptarlos a cada configuración LDAP. Después de modificar los filtros y pulsar Aceptar o Aplicar, el tipo de directorio en el panel Registro LDAP autónomo cambia a personalizado, que indica que se utilizan los filtros personalizados. Además, se pueden desarrollar filtros para dar soporte a cualquier tipo de servidor LDAP adicional. La tarea de dar soporte a directorios LDAP adicionales es opcional y no se da soporte a los demás tipos de directorios LDAP. Complete los pasos siguientes en la consola administrativa.

Procedimiento

  1. Pulse Seguridad > Seguridad global.
  2. En el repositorio de cuentas de usuario, seleccione Registro LDAP autónomo y pulse Configurar.
  3. Bajo Propiedades adicionales, pulse Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol).
  4. Modifique el filtro de usuario, si es necesario. El filtro de usuario se utiliza para buscar usuarios en el registro y se suele utilizar para las asignaciones de rol a usuario de seguridad. El filtro también se utiliza para autenticar un usuario con el atributo especificado en el filtro. El filtro especifica la propiedad que se utiliza para buscar usuarios en el servicio de directorios.

    En el ejemplo siguiente, la propiedad que se ha asignado a %v, que es el nombre abreviado del usuario, debe ser una clave única. Dos entradas de LDAP con la misma clase de objeto no pueden tener el mismo nombre abreviado. Para buscar usuarios según sus ID de usuarios (uid) y utilizar la clase de objeto inetOrgPerson, especifique la siguiente sintaxis:

    (&(uid=%v)(objectclass=inetOrgPerson)

    Para obtener más información acerca de esta sintaxis, consulte la documentación Utilización de servidores de directorios específicos como servidor LDAP.

  5. Modifique el filtro de usuarios Kerberos si es necesario. El nombre de filtro de usuarios Kerberos se utiliza para buscar en el registro el nombre principal de Kerberos. Especifique el atributo LDAP que contiene el nombre principal de Kerberos.
    Filtro krbuser predeterminado de IBM Lotus Domino:
    (&(krbPrincipalName=%v)(objectcategory=Person))
    Filtro krbuser predeterminado de IBM SecureWay Directory Server:
    (&(krbPrincipalName=%v)(objectcategory=ePerson))
    Filtro krbuser predeterminado de Microsoft Active Directory:
    (&(userprincipalname=%v)(objectcategory=user))
    Filtro krbuser predeterminado de Sun Java System Directory Server:
    (&(krbPrincipalName=%v)(objectcategory=inetOrgPerson))
    Filtro krbuser predeterminado de Novell eDirectory:
    (&(krbPrincipalName=%v)(objectcategory=Person))
  6. Opcional: Si utiliza Repositorios federados, modifique el nombre del atributo de Kerberos, si es necesario. El nombre del atributo de Kerberos se utiliza para buscar el registro del identificador individual de Kerberos. Especifique el atributo LDAP que contiene el nombre principal de Kerberos.
    Filtro krbuser predeterminado de IBM Lotus Domino:
    krbPrincipalName
    Filtro krbuser predeterminado de IBM SecureWay Directory Server:
    krbPrincipalName
    Filtro krbuser predeterminado de Microsoft Active Directory:
    userprincipalname
    Filtro krbuser predeterminado de Sun Java System Directory Server:
    krbPrincipalName
    Filtro krbuser predeterminado de Novell eDirectory:
    krbPrincipalName
  7. Modifique el filtro de grupo, si es necesario. El filtro de grupos se utiliza para buscar grupos en el registro y se suele utilizar para las asignaciones de rol a grupo de seguridad. También se utiliza para especificar la propiedad por la que se buscan grupos en el servicio de directorios.

    En el ejemplo siguiente, la propiedad que se ha asignado a %v, que es el nombre abreviado del grupo, debe ser una clave única. Dos entradas de LDAP con la misma clase de objeto no pueden tener el mismo nombre abreviado. Para buscar grupos según sus nombres comunes (CN) y utilizar la clase de objeto groupOfNames o groupOfNames, especifique la siguiente sintaxis:

    (&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

    Para obtener más información acerca de esta sintaxis, consulte la documentación Utilización de servidores de directorios específicos como servidor LDAP.

  8. Modifique la correlación de ID de usuario, si es necesario. Este filtro correlaciona el nombre abreviado de un usuario con una entrada LDAP y especifica el fragmento de información que representa a los usuarios cuando estos se visualicen con los nombres abreviados. Por ejemplo, para visualizar entradas del tipo objectclass = inetOrgPerson según sus ID, especifique inetOrgPerson:uid. Este campo toma varios pares objectclass:property delimitados por un punto y coma (";"). Para proporcionar un valor coherente para métodos como getCallerPrincipal y getUserPrincipal, se obtiene el nombre abreviado mediante el uso de este filtro. Por ejemplo, el usuario CN=Bob Smith, ou=austin.ibm.com, o=IBM, c=US puede iniciar la sesión utilizando los atributos definidos como, por ejemplo, dirección de correo electrónico, número de seguridad social, etc, pero, cuando se llama a estos métodos, se devuelve el ID de usuario bob independientemente de cómo haya iniciado la sesión el usuario.
    Nota: Sólo la API getUserDisplayName respeta la correlación de ID de usuario.
  9. Modifique el filtro de correlación de ID de grupo, si es necesario. Este filtro correlaciona el nombre abreviado de un grupo con una entrada LDAP y especifica el fragmento de información que representa a los grupos cuando estos se visualizan. Por ejemplo, para visualizar grupos por sus nombres, especifique *:cn. El asterisco (*) es un carácter comodín que busca en cualquier clase de objeto en este caso. Este campo toma varios pares objectclass:property delimitados por un punto y coma (";").
  10. Modifique el filtro de correlación de ID de miembro de grupo, si es necesario. Este filtro identifica de qué grupo es miembro el usuario. En los tipos de directorio SecureWay y Domino, este campo se utiliza para consultar todos los grupos que coinciden con las clases de objetos especificados para ver si el usuario está contenido en el atributo especificado. Por ejemplo, para obtener todos los usuarios que pertenecen a grupos con la clase de objeto groupOfNames y los usuarios incluidos en los atributos de miembros, especifique groupOfNames:member. Esta sintaxis, que es una propiedad de una clase de objeto, almacena la lista de miembros pertenecientes al grupo representado por la clase de objeto. Este campo toma varios pares de objectclass:property delimitados por un punto y coma (;). Para obtener más información acerca de esta sintaxis, consulte Utilización de servidores de directorios específicos como servidor LDAP.

    En IBM® Tivoli Directory Server, Sun ONE y Active Directory, este campo se utiliza para consultar todos los usuarios de un grupo con la información almacenada en el objeto de usuario. Por ejemplo, el filtro memberof:member (para Active Directory) se utiliza para obtener el atributo memberof del objeto User y así obtener todos los grupos a los que pertenece el usuario. El atributo member se utiliza para obtener todos los usuarios de un grupo que utilizan el objeto Group. La utilización del objeto User para obtener la información de grupo mejora el rendimiento.

  11. Seleccione la opción Realizar una búsqueda de grupo anidada si el servidor LDAP no da soporte a búsquedas recursivas en el extremo del servidor.
  12. Modifique la Modalidad de correlación de certificados, si es necesario. Puede utilizar los certificados X.590 para la autenticación de usuario si se ha seleccionado LDAP como registro. Este campo se utiliza para indicar si los certificados X.509 se deben correlacionar con un usuario de directorio LDAP mediante EXACT_DN o CERTIFICATE_FILTER. Si se selecciona EXACT_DN, el DN del certificado debe coincidir exactamente con la entrada de usuario del servidor LDAP, incluidos los espacios y las mayúsculas/minúsculas.
    Seleccione la opción Ignorar mayúsculas para autorización en los valores del registro LDAP autónomo para que la autorización ignore mayúsculas y minúsculas. Para acceder al panel Valores del registro LDAP autónomo, complete los pasos siguientes:
    1. Pulse Seguridad > Seguridad global.
    2. En Repositorio de cuentas de usuario, pulse la lista desplegable Definiciones del reino disponibles y seleccione Registro LDAP autónomo.
  13. Si selecciona CERTIFICATE_FILTER, especifique el filtro LDAP para correlacionar atributos en el certificado de cliente con entradas de LDAP. Si hay más de una entrada LDAP que coincide con la especificación de filtro durante la ejecución, la autenticación fallará, ya que dará como resultado una coincidencia ambigua. La sintaxis o estructura de este filtro es: LDAP attribute=${atributo de certificado de cliente} (por ejemplo, uid=${SubjectCN}).

    Un lado de la especificación del filtro es un atributo LDAP que depende del esquema que el servidor LDAP deba utilizar según su configuración. El otro lado de la especificación del filtro es uno de los atributos públicos del certificado de cliente. Tenga en cuenta que la especificación de filtro que es uno de los atributos públicos del certificado de cliente debe comenzar por la derecha con un signo de dólar ($), una llave inicial ({) y acabar con una llave final (}). Utilice los siguientes valores de atributo de certificado en el lado de la especificación de filtro que es uno de los atributos públicos del certificado de cliente. Es importante la distinción entre mayúsculas y minúsculas de las series.

    • {UniqueKey}
    • ${PublicKey}
    • ${IssuerDN}
    • ${Issuer<xx>}

      donde <xx> se sustituye por los caracteres que representan un componente válido del nombre distinguido de emisor. Por ejemplo, puede utilizar ${IssuerCN} para el nombre común de emisor.

    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${SubjectDN}
    • ${Subject<xx>}

      donde <xx> donde se sustituye por los caracteres que representan un componente válido del nombre distinguido del sujeto. Por ejemplo, puede utilizar ${SubjectCN} para el nombre común del sujeto.

    • ${Version}

    Para habilitar este campo, seleccione CERTIFICATE_FILTER para la correlación de certificados.

    Avoid trouble Avoid trouble: No se da soporte a los nombres alternativos de sujeto (SAN) como elementos de filtro de certificado. gotcha
  14. Pulse Aplicar.
    Cuando modifique algún filtro de usuario o grupo LDAP en el panel Valores LDAP avanzados, pulse Aplicar. Si pulsa Aceptar se desplazará hasta el panel Registro LDAP autónomo, que contiene el tipo de directorio LDAP anterior, en lugar del tipo de directorio personalizado. Si pulsa Aceptar o Aplicar en el panel Registro LDAP autónomo guarda el tipo de directorio LDAP de niveles anteriores y los filtros por omisión de dicho directorio. Esta acción altera temporalmente los cambios realizados en los filtros. Para evitar sobrescribir los cambios, puede realizar una de las acciones siguientes:
    • Pulse Aplicar en el panel Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol). Pulse Seguridad > Seguridad global y cambie el tipo de repositorio de cuentas de usuario a Registro personalizado autónomo.
    • Seleccione el tipo Personalizado desde el panel Registro LDAP autónomo. Pulse Aplicar y, a continuación, cambie los filtros pulsando el panel Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol). Una vez realizados los cambios, pulse Aplicar o Aceptar.

    La validación de los cambios no se lleva a cabo en este panel. La validación se lleva a cabo al pulsar Aceptar o Aplicar en el panel Seguridad global. Si es la primera vez que realiza el proceso de habilitación de la seguridad, efectúe los pasos restantes y vaya al panel Seguridad global. Seleccione Registro LDAP autónomo como repositorio de cuentas de usuario. Si la seguridad ya está habilitada y se ha modificado alguna información en este panel, vaya al panel Seguridad global y pulse Aceptar o Aplicar para validar los cambios. Si no se validan los cambios, es posible que el servidor no se inicie.

Resultados

Estos pasos dan como resultado la configuración de los filtros de búsqueda LDAP. Estos pasos son necesarios para modificar los filtros de usuarios y grupos para un tipo de directorio LDAP concreto. Estos pasos también se utilizan para configurar filtros de certificados para que correlacionen certificados con entradas en el servidor LDAP.

Qué hacer a continuación

  1. Valide esta configuración pulsando Aceptar o Aplicar en el panel Seguridad global.
  2. Guarde, detenga e inicie todos los servidores del producto, incluida la célula, los nodos y todos los servidores de aplicaciones para que entren en vigor las modificaciones de este panel.
  3. Una vez iniciado el servidor, realice todas las tareas relacionadas con la seguridad (obtener usuarios, grupos, etc.) para verificar que los cambios en los filtros se han realizado.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldapfilter
File name: tsec_ldapfilter.html