Utilización de Microsoft Active Directory para la autenticación

WebSphere Application Server da soporte a Microsoft Active Directory. Muchas instalaciones utilizan Microsoft Active Directory como su componente primario para gestionar la autenticación y los datos de usuario. Autenticar un usuario en varios repositorios, o a través de un LDAP (Lightweight Directory Access Protocol) distribuido, como un bosque de Microsoft Active Directory puede constituir un reto. En cualquier búsqueda del registro completo, la autenticación falla si hay más de una coincidencia en tiempo de ejecución como consecuencia de resultados ambiguos.

Acerca de esta tarea

Se garantiza la exclusividad de los ID de usuario dentro de un único dominio, pero no es posible garantizar que un ID de usuario dado sea exclusivo en un árbol o bosque. En la figura siguiente se muestra un ejemplo de la condición de un ID de usuario que no es exclusivo en un árbol o bosque.
Figura 1. Estrategia de búsqueda de bosque.. Ilustración de búsqueda de sAMAccountName no exclusivo en todo el bosque.Estrategia de búsqueda de bosque
Autenticar usuarios a través de los árboles o bosques puede ser una tarea difícil. Siga estos pasos.
[Windows]Nota: Debe asegurarse de que el servicio del navegador del sistema Microsoft Windows esté habilitado en el sistema operativo cuando se cumplan las condiciones siguientes:
  • El dominio primario está gestionado por Microsoft Active Directory.
  • El PDC (controlador principal de dominio) existe en una subred distinta a WebSphere Application Server.
  • Establece el registro de usuarios para WebSphere Application Server en el sistema operativo local y no en LDAP (Lightweight Directory Access Protocol).
Para obtener más información sobre cómo establecer y verificar que el servicio de navegador del sistema Windows Microsoft está habilitado, consulte la documentación de Microsoft correspondiente al sistema operativo.

Procedimiento

  1. Analice el constructor de Microsoft Active Directory que define la instalación. El análisis puede dar como resultado las formas siguientes:
    • Registro LDAP único - Configuración simple.
    • Repositorio federado (un bosque) - Configuración típica.
    • Fusión de repositorios federados (fusión de árboles en un bosque) - Configuración menos típica.
    • Combinación de bosques de usuarios y grupos - Configuración poco habitual
  2. Desarrolle estrategias para la búsqueda de usuarios que se corresponda con su instalación de Microsoft Active Directory. Recuerde que se garantiza la exclusividad de los ID de usuario dentro de un único dominio, pero no es posible garantizar que un ID de usuario dado sea exclusivo en un árbol o bosque.
  3. Evalúe mediante la realización de pruebas si las estrategias de búsqueda de autenticación autentican correctamente a los usuarios en la instalación de Microsoft Active Directory.

Resultados

Podrá autenticar usuarios con registros LDAP en un bosque de Microsoft Active Directory.

Qué hacer a continuación

Avoid trouble Avoid trouble: Antes de seleccionar uno de estos escenarios, consulte la información adecuada de Microsoft Active Directory para comprender las implicaciones de los escenarios en la planificación de la configuración.gotcha

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad
File name: tsec_was_ad.html