Catálogo global de Microsoft Active Directory

Un Catálogo global es un servidor del Catálogo global. Un catálogo global contiene un conjunto completo de atributos para el dominio en el que reside y un subconjunto de atributos para todos los objetos del bosque de Microsoft Active Directory. Las dos funciones principales de un catálogo global dentro de Microsoft Active Directory son la función de inicio de sesión y las consultas de Microsoft Active Directory.

Un catálogo global en la instalación de Microsoft Active Directory con el producto es un único repositorio LDAP (Lightweight Directory Access Protocol) que contiene un subconjunto de información de usuarios de todos los dominios del bosque. Esta información incluye los ID de usuario, información de autenticación y grupos, pero no toda la información de grupo.

Puede utilizar el catálogo global en cualquier controlador de dominios del bosque, incluso en subdominios. El catálogo global es una solución a la limitación de WebSphere Application Server de "registro único". Existen limitaciones en el catálogo global. Los usuarios del controlador de dominio local contienen información del grupo "memberOf". Los usuarios de un controlador de dominio foráneo contienen información de "memberOf" limitada, porque la información del grupo global no se replica en cada controlador de dominio.

Grupos globales anidados en grupos universales

Estructura típica de pertenencia a grupos que tiene las características siguientes:
  • Los usuarios se distribuyen entre los controladores de dominio de un bosque que contiene varios controladores de dominio.
  • Los usuarios se definen en grupos globales dentro de su propio controlador de dominio local.
  • Un grupo universal contiene los grupos globales, que refleja un rol de Java™ EE (Java Platform, Enterprise Edition) que se correlaciona con un conjunto de usuarios distribuidos entre diversos controladores de dominio.

En la siguiente figura se ilustran grupos globales anidados en grupos universales.

Figura 1. Grupos globales anidados en grupos universales . Esta figura ilustra grupos globales anidados en grupos universales.Grupos globales anidados en grupos universales
Supone todo un reto desarrollar métodos de configuración de WebSphere Application Server que puedan buscar usuarios y sus pertenencias a grupos cuando la información se extiende entre varios controladores de dominio. Un método requiere que WebSphere Application Server siga las referencias LDAP para buscar el controlador de dominio inicial para cada usuario y que WebSphere Application Server realice consultas de grupos anidados.
Avoid trouble Avoid trouble: Este método no utiliza el catálogo global.gotcha

Otro método y el enfoque más simple tiene grupos universales, que contienen los usuarios y utilizan un Catálogo global, que necesita que se utilicen las referencias. En la figura siguiente se muestra este método.

Figura 2. Localización de pertenencias a grupos. En esta figura se ilustra el proceso de localización de pertenencias a grupos.Localización de pertenencia a grupos
Una variación de este método consiste en no utilizar grupos universales. Puede utilizar este enfoque cuando no estén disponibles los grupos universales.
Avoid trouble Avoid trouble: Este enfoque no utiliza el Catálogo global.gotcha
Puede considerar la utilización de Microsoft Active Directory Global Catalog como registro de WebSphere Application Server. Se dan tres escenarios; no obstante los dos primeros escenarios muestran cómo se producen errores.
  1. Si configura WebSphere Application Server para que utilice el catálogo global como su registro LDAP y siga las referencias, los usuarios individuales están visibles en cada controlador de dominio. Como un usuario sólo debe existir una vez en el registro, todos los inicios de sesión fallan.
  2. Si configura WebSphere Application Server para que utilice el catálogo global como su registro LDAP y no siga las referencias y los usuarios individuales están dentro de grupos globales, la pertenencia a grupos no se completa. Observe la figura siguiente, que ilustra esta limitación.
    Figura 3. Catálogo global (sin utilizar referencias). Ilustración de un catálogo global sin utilizar referenciasCatálogo global (sin utilizar referencias)
  3. Cuando se configura WebSphere Application Server para utilizar el catálogo global como su registro LDAP, sin seguir las referencias, y los usuarios están contenidos directamente en grupos globales universales, se completa la pertenencia a grupos.
Avoid trouble Avoid trouble: Antes de seleccionar uno de estos escenarios, consulte la información adecuada de Microsoft Active Directory para comprender las implicaciones de los escenarios en la planificación de la configuración.gotcha

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_globcat
File name: csec_was_ad_globcat.html