[IBM i]

Configuración de Enterprise Identity Mapping

Utilice iSeries Navigator para configurar EIM (Enterprise Identity Mapping) para utilizarlo con la fábrica de conexiones de señales de identidad.

Antes de empezar

Para estos pasos, dé por supuesto que el controlador EIM, que es el servidor de directorios LDAP (Lightweight Directory Access Protocol), es el servidor de directorio local y que reside en el servidor iSeries que se está configurando para EIM. Si desea información detallada sobre EIM, consulte EIM (Enterprise Identity Mapping).

Necesita el nombre distinguido (DN) del administrador del servidor LDAP y la contraseña para realizar esta tarea.

Consejo: Un servidor puede participar sólo en un dominio EIM a la vez. Si el servidor ya está unido a un dominio EIM y el dominio se añade a la gestión de dominios, utilice dicho dominio y vaya a Create a source user registry definition in EIM (Crear una definición de registro de usuario fuente en EIM).

Procedimiento

  1. La fábrica de conexiones de señales de identidad requiere que configure un dominio EIM.
    Cree un dominio en EIM:
    Nota: En función de la configuración de la máquina, estos pasos podrían aparecer en un orden ligeramente diferente. Esto da por supuesto que LDAP ya está configurado y que el servicio de autenticación de la red no se ha configurado.
    1. Asegúrese de que el servidor LDAP se ha iniciado. Puede comprobar el nombre distinguido (DN) del administrador del servidor LDAP y la contraseña. Sin embargo, tenga en cuenta que el servidor LDAP es detenido más adelante por el asistente.
    2. En iSeries Navigator, expanda nombre_servidor > Red > Enterprise Identity Mapping, donde nombre_servidor es el nombre del servidor iSeries.
    3. Pulse Enterprise Identity Mapping.
    4. Pulse con el botón derecho del ratón Configuración y seleccione Configurar para iniciar el asistente de Configuración EIM.
      Nota: Esta opción tiene la etiqueta Reconfigurar si EIM se ha configurado previamente en el sistema.
    5. En la página de bienvenida del asistente, seleccione Create and join a new domain (Crear y unir un dominio nuevo).
    6. Pulse Next (Siguiente).
    7. En la página Specify EIM Domain Location (Especificar ubicación de dominio EIM), seleccione On the local Directory server (En el servidor de directorios local) y, a continuación, pulse Siguiente.
    8. Si el servicio de autenticación de red no se ha configurado en el sistema para establecer un entorno de inicio de sesión único, aparece la página Configure Network Authentication Service (Configurar servicio de autenticación de red). El servicio de autenticación de red no es necesario para la fábrica de conexiones de señales de identidad EIM. Seleccione No y, a continuación, pulse Siguiente.
    9. En la página Specify User for Connection (Especificar usuario para la conexión), especifique el nombre distinguido y la contraseña para el administrador LDAP para garantizar que el asistente tiene la autoridad suficiente para administrar el dominio EIM y los objetos incluidos en él. Pulse Next (Siguiente).
      Nota: Si no ha configurado el servidor de directorios local antes de utilizar el asistente de configuración de EIM, en su lugar aparece la página Configure Directory Server (Configurar servidor de directorios). Utilice esta página para especificar el nombre distinguido y la contraseña para el administrador LDAP y siga con el paso siguiente de este procedimiento. El nombre distinguido (DN) de LDAP identifica al administrador LDAP para el servidor de directorio. El asistente de configuración de EIM crea este DN del administrador LDAP y lo utiliza para configurar el servidor de directorio como el controlador de dominio para el nuevo dominio que está creando.
    10. En la página Specify Domain (Especificar dominio), proporcione el nombre del dominio EIM y pulse Siguiente.
    11. En la página Specify Parent DN for Domain (Especificar DN del padre para el dominio), seleccione Yes (Sí) para especificar un DN del padre para el dominio que está creando, o bien especifique No para que los datos EIM se almacenen en una ubicación de directorio con un sufijo cuyo nombre se derive del nombre de dominio de EIM. Pulse Next (Siguiente).
    12. Aparece un mensaje que indica que debe detener el servidor LDAP. Pulse para continuar.
    13. En la página Registry Information (Información de registro), seleccione Local OS/400 (OS/400 local) y pulse Next (Siguiente).
    14. En la página Specify EIM System User (Especificar usuario del sistema EIM), seleccione Distinguished name and password (Nombre distinguido y contraseña) como el tipo de usuario, proporcione el DN y la contraseña para el administrador del servidor de directorios y, de forma opcional, verifique el DN y la contraseña. Pulse Next (Siguiente).
    15. En el panel Summary (Resumen), revise la información de configuración que ha proporcionado. Si toda la información es correcta, pulse Finish (Finalizar).
  2. Añada el dominio a la gestión de dominios:
    1. En iSeries Navigator, expanda nombre_sistema> Red > Enterprise Identity Mapping > Gestión de dominios.
    2. Pulse con el botón derecho del ratón Gestión de dominios y, a continuación, seleccione Añadir dominio.
    3. En el diálogo Añadir dominio, especifique el dominio que ha creado anteriormente y pulse Aceptar.
  3. Cree una definición de registro de usuario de origen en EIM.

    La fábrica de conexiones de señales de identidad requiere una entrada de definición de registro de usuario de origen en EIM. La definición del registro de usuarios de origen representa el registro que utiliza WebSphere Application Server para la autenticación. Este registro puede ser un registro de OS local o un registro LDAP.

    1. En iSeries Navigator, expanda nombre_sistema > Red > Enterprise Identity Mapping > Gestión de dominios > nombre_dominio> Registros de usuarios.
    2. Si se le solicita una contraseña del servidor LDAP, proporcione la contraseña y pulse Aceptar.
    3. Pulse con el botón derecho del ratón Registros de usuarios y seleccione Añadir registro > Sistema para iniciar el asistente de configuración que añade el registro al dominio.

      Proporcione el nombre y el tipo de registro. Si el servidor de aplicaciones está alojado en un servidor iSeries y se ha configurado para utilizar el registro de usuarios del sistema operativo local, seleccione OS/400 como tipo de registro de usuarios EIM. Si el servidor de aplicaciones se configura de modo que utilice el registro de usuarios LDAP, escriba LDAP - nombre abreviado como el tipo de registro EIM.

      Nota: Antes de IBM i V5R4, en lugar de LDAP - nombre de abreviado utilice 1.3.18.02.33.14-caseIgnore. El valor 1.3.18.02.33.14-caseIgnore es el formato de normalización de ObjectIdentifier del tipo de registro de usuarios y los principales se identifican a través del atributo del nombre abreviado de LDAP. El asistente no maneja el nombre descriptivo de este tipo de registro.
    4. Pulse Aceptar.
  4. Cree el identificador de usuario en EIM

    La fábrica de conexiones de señales de identidad requiere una entrada del identificador de usuario, que es equivalente a un identificador EIM; en EIM, la entrada del identificador de usuario representa al usuario de la aplicación.

    1. En iSeries Navigator, expanda sistema > Red > Enterprise Identity Mapping > Gestión de dominios > dominio> Identificadores.
    2. Pulse con el botón derecho del ratón Identificadores y seleccione Identificador nuevo.
    3. Escriba un nombre de identificador como, por ejemplo, el nombre completo, y pulse Aceptar.
  5. Cree una asociación de destino en EIM para el identificador de usuario.

    Una asociación de destino representa al perfil de usuario en el servidor iSeries de destino para el identificador creado anteriormente.

    1. En iSeries Navigator, expanda sistema > Red > Enterprise Identity Mapping > Gestión de dominios > dominio > Identificadores.
    2. Pulse dos veces Identificador de la aplicación para el usuario creado anteriormente.
    3. Pulse la pestaña Asociaciones.
    4. Pulse Añadir.
    5. Proporcione el perfil de usuario de IBM i para el identificador EIM en el campo Usuario y pulse Aceptar.
    6. Pulse Aceptar para guardar la asociación.
  6. Cree una asociación de origen en EIM para el identificador de usuario.

    Una asociación de origen se utiliza para autenticarse en WebSphere Application Server.

    1. En iSeries Navigator, expanda sistema > Red > Enterprise Identity Mapping > Gestión de dominios > dominio > Identificadores.
    2. Pulse dos veces Identificador de la aplicación para el usuario creado anteriormente.
    3. Pulse la pestaña Asociaciones.
    4. Pulse Añadir.
    5. Pulse Examinar y seleccione el registro de usuarios de WebSphere Application Server.
    6. Especifique el ID de usuario de WebSphere Application Server, por ejemplo mi_id.
    7. Seleccione Origen.
    8. Pulse Aceptar para añadir la nueva asociación.
    9. Pulse Aceptar para guardar la asociación.
  7. Opcional: Compruebe la conexión con el controlador de dominio EIM.

    Utilice el mandato idsldapsearchpara comprobar la conexión con el controlador de dominio EIM. Por ejemplo, si el servidor LDAP se encuentra en el host mi_servidor, el nombre de dominio EIM es Mi_Dominio_EIM, y el registro del usuario de origen es Registro WAS, los pasos para comprobar la conexión son los siguientes:

    1. Inicie la sesión en el servidor iSeries que aloja el perfil de WebSphere Application Server.
    2. Desde una línea de mandatos de CL, especifique QSH y pulse Intro.
    3. Especifique el mandato siguiente y pulse Intro.
      idsldapsearch -h my_server -p 389 -D cn=administrator 
      -w secret -b "ibm-eimDomainName=Mi_dominio_EIM" 
      "ibm-eimRegistryName=Registro_WAS"
      donde:
      • mi_servidor es el nombre del servidor host del servidor LDAP.
      • 389 es el puerto que es utilizado por el servidor LDAP.
      • cn=administrator es el DN de LDAP del administrador LDAP.
      • secret es la contraseña del administrador LDAP.
      • ibm-eimDomainName=Mi_dominio_EIM es el DN de DN de la entrada del nombre de dominio EIM.

      Las líneas anteriores aparecen en varias líneas sólo con fines ilustrativos. Especifique el mandato en una línea continua.

      En este ejemplo, no existe ningún nombre del padre de dominio EIM. Si existiera un nombre del padre de dominio EIM como, por ejemplo, dc=myserver,dc=ibm,dc=com, el DN de LDAP es ibm-eimDomainName=My_EIM_Domain,dc=myserver,dc=ibm,dc=com.

Resultados

El resultado esperado es similar al ejemplo siguiente:

ibm-eimRegistryName=WAS Registry,cn=Registries,ibm-eimdomainname=My_EIM_Domain
   objectclass=top
   objectclass=ibm-eimRegistry
   objectclass=ibm-eimSystemRegistry
   ibm-eimRegistryName=WAS_Registry
   ibm-eimRegistryType=1.3.18.0.2.33.9-caseIgnore
   description=Ejemplo de registro para WebSphere Application Server

Qué hacer a continuación

Configure la fábrica de conexiones de señales de identidad EIM. Consulte Configuración de la fábrica de conexiones de símbolos de identidad Enterprise Identity Mapping.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_idtokenconfigeim
File name: tsec_idtokenconfigeim.html