Registros de LDAP (Lightweight Directory Access Protocol) autónomo

Un registro LDAP (Lightweight Directory Access Protocol) autónomo realiza la autenticación utilizando un enlace LDAP.

La seguridad de WebSphere Application Server proporciona y soporta la implementación de la mayoría de servidores de directorio LDAP, que pueden actuar como repositorio de información de usuarios y grupos. Estos servidores LDAP son invocados por los procesos del producto para autenticar un usuario y otras tareas relacionadas con la seguridad. Por ejemplo, los servidores se utilizan para obtener información de usuario o de grupo. Este soporte se proporciona utilizando distintos filtros de usuario y de grupo para obtener la información de usuario y de grupo. Estos filtros tienen valores predeterminados que se pueden modificar para adaptarse a sus necesidades. La característica LDAP personalizada permite utilizar otro servidor LDAP, que no esté en la lista de servidores LDAP soportados por el producto, para el registro de usuarios, utilizando los filtros adecuados.

Nota: La creación de perfil inicial configura WebSphere Application Server para que utilice una opción de registro de seguridad para los repositorios federados con el registro basado en archivo. Esta configuración del registro de seguridad se puede cambiar y utilizar otras opciones, incluyendo el registro LDAP autónomo. En lugar de cambiar de la opción de los repositorios federados a la opción de registro LDAP autónomo en la configuración del repositorio de cuentas de usuario, puede que le interese más utilizar la opción de los repositorios federados, que proporciona configuración de LDAP. Los repositorios federados proporcionan un amplio abanico de prestaciones, incluyendo la posibilidad de tener uno o diversos registros de usuarios. Permite federar uno o más registros LDAP además de los registros basados en archivo y personalizados. También tiene mejores prestaciones de migración tras error y un sólido conjunto de prestaciones de gestión de miembros (usuarios y grupos). Es obligatorio utilizar repositorios federados si utiliza las nuevas prestaciones de gestión de miembros en WebSphere Portal 6.1 y superior y en Process Server 6.1 y superior. También es obligatorio utilizar repositorios federados para realizar el seguimiento de las referencias de LDAP, lo que es un requisito común en algunos entornos de servidor LDAP (como, por ejemplo, Microsoft Active Directory).

Se recomienda migrar de los registros LDAP autónomos a los repositorios federados. Si cambia a WebSphere Portal 6.1 y superior o WebSphere Process Server 6.1 y superior, debería migrar a los repositorios federados antes de realizar estas actualizaciones. Para obtener más información sobre los repositorios federados y sus prestaciones, consulte el tema Repositorios federados. Para obtener más información sobre cómo migrar a los repositorios federados, consulte el tema Migración de un repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados.

Para utilizar LDAP como registro de usuario, debe conocer un nombre de usuario administrativo definido en el registro, el host y el puerto del servidor, el nombre distinguido (DN) básico y, si es necesario, el DN de enlace y la contraseña de enlace. Puede elegir cualquier usuario válido en el registro que se pueda buscar y tenga privilegios administrativos. En algunos servidores LDAP, los usuarios de administración no se pueden buscar y no se pueden utilizar, por ejemplo, cn=root en SecureWay. En la documentación, se hace referencia a este usuario como ID de servidor de seguridad WebSphere Application Server, ID de servidor o ID de usuario de servidor. Si un usuario es un ID de servidor, significa que tiene privilegios especiales cuando llame a algunos métodos internos protegidos. Por lo general, este ID y contraseña se utilizan para iniciar la sesión en la consola administrativa después de activar la seguridad. Puede utilizar otros usuarios para iniciar la sesión si dichos usuarios forman parte de los roles administrativos.

Cuando la seguridad está habilitada en el producto, el nombre de usuario y la contraseña administrativos primarios se autenticarán con el registro durante el inicio del producto. Si la autenticación falla, el servidor no se inicia. Es importante elegir un ID y una contraseña que no caduquen ni se modifiquen a menudo. Si es necesario cambiar el ID de usuario o la contraseña de servidor del producto en el registro, asegúrese de que los cambios se realizan cuando todos los servidores del producto estén en ejecución.

Cuando los cambios se han realizado en el registro, utilice los pasos que se describen en Configuración de los registros de usuario de LDAP (Lightweight Directory Access Protocol). Cambie el ID, la contraseña y otra información de configuración, guarde los cambios, y detenga y reinicie todos los servidores, para que el producto utilice el nuevo ID o la nueva contraseña. Si tiene algún problema al iniciar el producto con la seguridad habilitada, inhabilite la seguridad antes de iniciar el servidor. Para evitar estos problemas, asegúrese de que los cambios en este panel estén validados en el panel Seguridad Global. Una vez que el servidor esté en ejecución, podrá cambiar el ID, la contraseña u otra información de seguridad, y habilitar la seguridad.

Puede utilizar la característica LDAP (Lightweight Directory Access Protocol) personalizada para dar soporte a cualquier servidor LDAP, estableciendo la configuración correcta. No obstante, el soporte no se amplía a estos servidores LDAP personalizados, ya que hay muchas posibilidades de configuración.

El motor de autorizaciones configurado utiliza la información de correlación de usuarios y grupos con roles de seguridad para tomar decisiones de control de acceso.

[z/OS]Si configura un registro LDAP como registro activo, puede configurar uno de los siguientes mecanismos de autorización:
  • Autorización SAF (System Authorization Facility) utilizando perfiles EJBROLE o GEJBROLE. SAF altera temporalmente los otros mecanismos de autorización.
  • Tivoli Access Manager como proveedor de JACC (Java™ Contract for Containers). Para obtener más información, consulte Integración de Tivoli Access Manager como proveedor de JACC.
  • Enlaces de usuarios con roles, que crea el ensamblador de la aplicación o el administrador de seguridad de WebSphere Application Server.
[z/OS]Se puede utilizar la autorización SAF, que se basa en el uso de perfiles EJBROLE de SAF para asignar usuarios y grupos SAF a los roles, como mecanismo de autorización para todos los registros de usuarios. Si se selecciona la autorización SAF en la consola administrativa:

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
File name: csec_ldap.html