Migración de un repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados

Cuando se configura la seguridad para el servidor de aplicaciones, es posible que necesite migrar un registro LDAP autónomo a una configuración de repositorios federados del repositorio de LDAP.

Antes de empezar

Observe las especificaciones del repositorio LDAP autónomo que desea migrar, como referencia al configurar el repositorio LDAP en repositorios federados. Para acceder a estos campos, en la consola administrativa, pulse Seguridad > Seguridad global y, a continuación, en Repositorio de cuenta de usuario, seleccione Registro LDAP autónomo o Repositorios federados en el campo Definiciones de reino disponibles y pulse Configurar. Para acceder a estos campos en un entorno de dominio de seguridad múltiple, pulse Seguridad > Seguridad Global > Dominios de seguridad > nombre_dominio y, a continuación, en Atributos de seguridad, amplíe Reino de usuario y pulse Personalizar para este dominio. Seleccione el tipo de reino como Registro de LDAP autónomo o Repositorios federados y pulse Configurar.

Avoid trouble Avoid trouble: Si no está familiarizado con cómo utilizar los atributos LDAP, especialmente los atributos de filtro de grupo y de filtro de usuario, póngase en contacte con el administrador LDAP para obtener ayuda para establecer valores para estos atributos que sean adecuados para su sistema. gotcha

En la tabla siguiente se muestran los paneles de la consola administrativa y los campos de la configuración del repositorio LDAP autónomo y sus campos correspondientes en una configuración de repositorio LDAP de repositorios federados para la correlación.

Tabla 1. Correlación entre una configuración de repositorio LDAP autónomo y una de repositorio LDAP de repositorios federados. En esta tabla se muestra la correlación entre una configuración de repositorio LDAP autónomo y una configuración de repositorio LDAP de repositorios federados.
Configuración del repositorio LDAP autónomo Repositorio LDAP en una configuración de repositorios federados
Seguridad global > Registro de LDAP autónomo

Propiedades generales – Nombre de usuario administrativo primario

Seguridad Global > Repositorios federados

Propiedades generales – Nombre de usuario administrativo primario

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Tipo de servidor LDAP

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Servidor LDAP – Tipo de directorio

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Host

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Servidor LDAP – Nombre de host primario

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Puerto

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Servidor LDAP – Puerto

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Hosts de migración tras error

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Servidor LDAP – Servidor de migración tras error utilizado cuando el primario no está disponible.

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Nombre distinguido (DN) básico

Seguridad global > Repositorios federados > Referencia de repositorio (pulse Añadir entrada base a reino)

Propiedades generales – Nombre distinguido de una entrada base que identifica de forma exclusiva este conjunto de entradas en el reino

y

Propiedades generales – Nombre distinguido de una entrada base en este repositorio

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Tiempo de espera de búsqueda

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorio > Rendimiento

Propiedades generales - Tiempo de búsqueda límite

Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Propiedades personalizadas

Seguridad global > Repositorios federados > Propiedades personalizadas
Seguridad global > Registro de LDAP autónomo

Servidor LDAP – Identidad de usuario de servidor

Seguridad Global > Repositorios federados

Propiedades generales – Identidad de usuario de servidor

Seguridad global > Registro de LDAP autónomo

Seguridad – Nombre distinguido (DN) de enlace

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Seguridad – Nombre distinguido de enlace

Seguridad global > Registro de LDAP autónomo

Seguridad – Contraseña de enlace

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Seguridad – Contraseña de enlace

Seguridad global > Registro de LDAP autónomo > Valores de registro de usuarios LDAP (Advanced Lightweight Directory Access Protocol)

Propiedades generales – Filtro de usuarios Kerberos

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Seguridad – Atributo LDAP utilizado para el nombre de principal Kerberos

Seguridad global > Registro de LDAP autónomo > Valores de registro de usuarios LDAP (Advanced Lightweight Directory Access Protocol)

Propiedades generales – Modalidad de correlación de certificado

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Seguridad– Correlación de certificado

Seguridad global > Registro de LDAP autónomo > Valores de registro de usuarios LDAP (Advanced Lightweight Directory Access Protocol)

Propiedades generales – Filtro de certificados

Seguridad global > Repositorios federados > Gestionar repositorios > ID_repositorios

Seguridad – Filtro de certificados

El campo Nombre de reino bajo Propiedades generales del panel de configuración LDAP de los repositorios federados no aparece listado en la tabla anterior porque no tiene una correspondencia unívoca con un campo en el panel de configuración LDAP autónomo. El nombre de host y el número de puerto representan el nombre de reino del servidor LDAP autónomo en la célula de WebSphere Application Server. Para obtener información sobre cómo cambiar el nombre del reino, consulte el tema Valores de Configuración del reino.

Los campos Filtro de usuario, Filtro de grupo, Correlación de ID de usuario, Correlación de ID de grupo y Correlación de ID de miembro de grupo tampoco se listan en la tabla anterior porque no tienen una correspondencia unívoca con los campos del panel de configuración de repositorio LDAP de repositorios federados. Estos atributos LDAP se establecen de forma distinta en la configuración de repositorio LDAP de repositorios federados e implican varios pasos. Estos valores se explican detalladamente en las siguientes secciones y procedimiento.

Acerca de esta tarea

La migración de una configuración de repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados implica migrar los parámetros de configuración, la mayoría de los cuales son directos como se muestra en la Tabla 1 de la sección anterior. La migración de los filtros de búsqueda es una parte importante de la migración de una configuración de repositorio LDAP autónomo a una configuración de LDAP de repositorios federados; por lo tanto, el concepto y la migración de los filtros de búsqueda de LDAP se describe aquí en detalle.

Los filtros de búsqueda del registro LDAP autónomo siguen la sintaxis del filtro LDAP, donde se especifica el atributo en los que se basa la búsqueda y su valor.

El filtro de usuario se utiliza para buscar usuarios en el registro. Se utiliza para autenticar un usuario utilizando el atributo especificado en el filtro.

El filtro de grupo se utiliza para buscar grupos en el registro. Especifica la propiedad mediante la cual se buscan grupos.

Ejemplos de filtros de usuario LDAP utilizados habitualmente: En los ejemplos siguientes de filtros de búsqueda, %v se sustituye por el patrón de búsqueda correspondiente del usuario o grupo en tiempo de ejecución.

(&(uid=%v)(objectclass=ePerson))

Busca usuarios donde el atributo uid coincide con el patrón de búsqueda especificado de la clase de objeto ePerson.

(&(cn=%v)(objectclass=user))

Busca usuarios donde el atributo cn coincide con el patrón de búsqueda especificado de la clase de objeto de usuario.

(&(sAMAccountName=%v)(objectcategory=user))

Busca usuarios donde el atributo sAMAccountName coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.

(&(userPrincipalName=%v)(objectcategory=user))

Busca usuarios donde el atributo userPrinciplalName coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.

(&(mail=%v)(objectcategory=user))

Busca usuarios donde el atributo mail coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.

(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))

Las búsquedas de usuarios en el sAMAccountName o el userPrincipalName coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.

Ejemplos de filtros de grupo utilizados habitualmente:

(&cn=%v)(objectCategory=group)

Busca de grupos según sus nombres comunes (cn).

(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

Busca grupos según sus nombres comunes (cn) y utilizando la clase de objeto de groupOfNames o groupOfUniqueNames.

Como se muestra en estos ejemplos, un filtro de búsqueda de registro LDAP autónomo consta de atributos LDAP y clases de objeto, a partir de los cuales se realiza la búsqueda o el inicio de sesión.

También puede especificar los atributos de LDAP y las clases de objetos en la configuración de adaptador LDAP de repositorios federados, pero están configurados de forma diferente y proporcionan más flexibilidad. En los repositorios federados el usuario está representado como tipo de entidad PersonAccount y el grupo como tipo de entidad Group. Cada tipo de entidad puede tener su propia propiedad RDN (Nombre Distinguido Relativo) (rdnProperties) y clase de objeto. Por ejemplo, la propiedad RDN predeterminada de PersonAccount es uid, y la propiedad RDN predeterminada de Group es cn. La correlación de una clase de objeto predeterminada depende del tipo de servidor LDAP. Por ejemplo, para Tivoli Directory Server, la clase de objeto para PersonAccount es inetOrgPerson y la clase de objeto para Group es groupOfNames. PersonAccount también puede tener propiedades de inicio de sesión. Cuando un usuario inicia sesión o se realiza una búsqueda para un usuario en un registro de usuarios, estas propiedades de inicio coinciden con el patrón. Por ejemplo, si las propiedades de inicio son uid y mail, entonces para el patrón de búsqueda a*, se devolverán todos los usuarios que coincidan con uid=a* o mail=a*.

Avoid trouble Avoid trouble: Puede especificar el valor de la propiedad de correlación de ID de usuario (userIdMap) del repositorio LDAP autónomo como la propiedad RDN (rdnProperties) o como la primera propiedad de inicio de sesión (loginProperties) en los repositorios federados. Aunque puede definir tanto la propiedad RDN como la propiedad de inicio de sesión en los repositorios federados, es suficiente con especificar únicamente la propiedad RDN. La propiedad de inicio de sesión es opcional y sólo deberá establecerla si es distinta de la propiedad RDN o si hay más de una propiedad de inicio de sesión. Si se establece tanto la propiedad RDN como la propiedad de inicio de sesión, la de inicio de sesión tiene prioridad sobre la RDN. gotcha

La migración de los filtros de búsqueda implica uno o varios de los pasos siguientes: establecer las propiedades de inicio de sesión correctas, correlacionar los atributos del repositorio de fondo con las propiedades de los repositorios federados, establecer la clase de objeto, establecer el filtro de búsqueda utilizando la categoría de objeto o clase de objeto, y establecer el atributo de miembro o pertenencia. Esta correlación y configuración de repositorios federados se mantiene en el archivo wimconfig.xml.

El filtro de búsqueda de registros LDAP autónomo puede dividirse en dos partes:
  • Filtro de atributos de usuario o grupo
  • Filtro de categoría de objeto o clase de objeto de usuario o grupo
Por ejemplo, en el filtro de búsqueda, (&(cn=%v)(objectclass=user)):
  • El filtro de atributo es (cn=%v)
  • El filtro de clase de objeto es (objectclass=user)
Estos dos filtros están correlacionados por separado en una configuración de repositorios federados:
  • El filtro de atributo está correlacionado con la configuración de las propiedades de inicio de sesión o las propiedades RDN para el usuario y con la configuración de las propiedades RDN para el grupo.
  • El filtro de la clase de objeto está correlacionado con la configuración de tipo de entidad del adaptador LDAP.
El atributo predeterminado y la correlación de la clase de objeto se establece en función del tipo de servidor LDAP, pero es posible que se deban realizar pasos adicionales para migrar estos dos filtros:
  • Filtro de atributo:
    • Establecer la propiedad RDN y/o las propiedades de inicio de sesión (si es aplicable)
    • Correlacionar la propiedad de repositorios federados con el atributo LDAP (si es aplicable)
  • Filtro de clase de objeto:
    • Establecer la clase de objeto para el tipo de entidad (si es aplicable)
    • Establecer el filtro de búsqueda del tipo de entidad (si es aplicable)
Algunos de los pasos del procedimiento siguiente incluyen dos ejemplos. En estos pasos:
  • El ejemplo 1 se aplica al caso en que se está migrando el filtro de búsqueda (&(cn=%v)(objectclass=ePerson)) de un repositorio LDAP autónomo de IBM Tivoli Directory Server a un repositorio LDAP de repositorios federados con el identificador LDAPTDS.
  • El ejemplo 2 se aplica al caso en que se está migrando el filtro de búsqueda (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) de un repositorio LDAP autónomo de Active Directory a un repositorio LDAP de repositorios federados con el identificador LDAPAD. Los atributos sAMAccountName y userPrincipalName no están definidos en los repositorios federados, de modo que estos atributos deben correlacionarse con la propiedades de los repositorios federados.

Procedimiento

  1. Añada el repositorio LDAP que desea migrar a la configuración de repositorios federados.

    Consulte la Tabla 1 en el apartado Antes de comenzar de este tema y siga los pasos descritos en el tema Configuración de un solo repositorio de Lightweight Directory Access Protocol en una nueva configuración en repositorios federados. Estos pasos incluyen enlaces a otros procedimientos que debe completar como:

    • Adición de un repositorio externo en una configuración de repositorios federados.
    • Configuración de tipos de entidad admitidos en una configuración de repositorios federados.
    • Configuración de LDAP (Lightweight Directory Access Protocol) en una configuración de repositorios federados.

    Después de completar estos pasos, el repositorio LDAP que desea migrar se habrá configurado correctamente en la configuración de repositorios federados.

  2. Establezca las propiedades de inicio de sesión (si es aplicable).

    Las propiedades de inicio de sesión son los nombres de propiedad que se utilizan para iniciar sesión en WebSphere Application Server. Puede especificar diversas propiedades de inicio de utilizando el punto y coma (;) como delimitador. Las propiedades de los repositorios federados que se utilizan habitualmente como propiedades de inicio de sesión son uid, cn, sn, givenName, mail, etc.

    Para establecer las propiedades de inicio de sesión en la consola administrativa, siga los pasos del tema Valores de configuración del repositorio LDAP (Lightweight Directory Access Protocol) y aplique los valores de la sección Propiedades de inicio de sesión.
    Ejemplo 1: En el campo Propiedades de inicio de sesión, escriba cn.
    Ejemplo 2: En el campo Propiedades de inicio de sesión, escriba uid;cn.

    Complete el Paso 3 para correlacionar estas propiedades con los atributos LDAP.

  3. Correlacione la propiedad del repositorio federado con el atributo LDAP (si es aplicable).
    Si el atributo LDAP no es una propiedad del repositorio federado, la propiedad de inicio de sesión que ha definido debe correlacionarse con el atributo LDAP.
    1. En la consola administrativa, pulse Seguridad > Seguridad global.
    2. En Repositorio de cuentas de usuario, seleccione Repositorios federados en el campo Definiciones de reino disponibles y pulse Configurar. Para configurar un dominio específico en un entorno de dominio de seguridad múltiple, pulse Dominios de seguridad > nombre_dominio. En Atributos de seguridad, expanda Reino de usuario y pulse Personalizar este dominio. Seleccione el tipo de reino como Repositorios federados y pulse Configurar.
    3. En Elementos relacionados, pulse Gestionar repositorios > ID_repositorio y, a continuación, en Propiedades adicionales, pulse el enlace Atributos LDAP.
    4. Si la correlación de atributo existe, primero debe suprimir la correlación existente para el atributo LDAP y, a continuación, añadir una correlación nueva para el atributo. Marque el recuadro de selección junto al nombre de atributo LDAP y pulse Suprimir.
    5. Para añadir una correlación de atributo, pulse Añadir y seleccione Soportado en el menú desplegable. Escriba el nombre de atributo LDAP en el campo Nombre, el nombre de propiedad de los repositorios federados en el campo Nombre de propiedad y el tipo de entidad que se aplica a la correlación de atributos en el campo Tipos de entidad.
    Ejemplo 1: Debido a que la propiedad del repositorio federado cn está implícitamente correlacionada con el atributo LDAP cn, no es necesaria ninguna correlación adicional.
    Ejemplo 2: Aquí el filtro de búsqueda incluye dos atributos LDAP, sAMAccountName y userPrincipalName.
    • Para el tipo de servidor LDAP, Active Directory, el atributo LDAP sAMAccountName se correlaciona de forma predeterminada con la propiedad de los repositorios federados, uid, como se muestra en la lista de atributos en el panel de atributos LDAP. Por lo tanto, no es necesario ejecutar el mandato addIdMgrLDAPAttr para añadir una configuración de atributo para sAMAccountName.
    • Si existe una correlación para el atributo LDAP userPrincipalName, suprima la correlación de atributo existente antes de añadir una nueva configuración.
      1. Marque el recuadro de selección situado junto a userPrincalName y pulse Suprimir.
      2. Pulse Añadiry seleccione Soportado en el menú desplegable.
      3. En el campo Nombre, escriba userPrincipalNam.
      4. En el campo Nombre de propiedad, escriba cn.
      5. En el campo Tipos de entidad, escriba PersonAccount.
  4. Establezca la clase de objeto para un tipo de entidad (si es aplicable).
    Avoid trouble Avoid trouble: Antes de llevar a cabo este paso, compruebe la correlación actual. Si la correlación de la clase de objeto ya está establecida, sáltese este paso. gotcha
    Para establecer la clase de objeto para un tipo de entidad en la consola administrativa, siga los pasos del tema Valores de tipos de entidades LDAP (Lightweight Directory Access Protocol) y aplique los valores siguientes en la sección Clases de objetos:
    • Especifique PersonAccount como nombre del tipo de entidad para los filtros de usuario
    • Especifique Group como nombre del tipo de entidad para los filtros de grupo.
    Ejemplo 1: En el campo Tipo de entidad, escriba PersonAccount.

    En el campo Clases de objetos, escriba ePerson.

    Ejemplo 2: En el campo Tipo de entidad, escriba PersonAccount.

    En el campo Clases de objetos, escriba user.

  5. Establezca el filtro de búsqueda para el tipo de entidad (si es aplicable).

    Repositorios federados realiza la búsqueda en función del valor de la clase de objeto. Para cambiar este valor predeterminado y utilizar la categoría del objeto como filtro, siga los pasos del tema Valores de tipos de entidades LDAP (Lightweight Directory Access Protocol) y aplique los valores de la sección Filtro de búsqueda.

    Ejemplo 1: Debido a que la búsqueda se basa en una clase de objeto, no es necesaria ninguna configuración adicional.
    Ejemplo 2: En el campo Filtro de búsqueda, escriba (objectcategory=user).
  6. Para migrar los filtros de grupo, también debe configurar los valores de definición de atributo de grupo.

    Los pasos para configurar los valores de definición de atributo de grupo a través de la consola administrativa se especifican en el tema Localización de las pertenencias a grupos de usuarios en un registro LDAP (Lightweight Directory Access Protocol), bajo la sección, Registro LDAP dentro de un Registro de repositorios federados. También puede utilizar los mandatos wsadmin addIdMgrLDAPGroupDynamicMemberAttr o addIdMgrLDAPGroupMemberAttr que se describen en el tema grupo de mandatos IdMgrRepositoryConfig para el objeto AdminTask.

  7. Guarde los cambios de configuración
  8. Reinicie el servidor de aplicaciones.

Resultados

Después de completar estos pasos, el repositorio LDAP está configurado para ser utilizado dentro de la configuración de repositorios federados.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_migrate_standaloneldap
File name: twim_migrate_standaloneldap.html