Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol)

Utilice esta página para configurar los valores avanzados del registro de usuarios LDAP (Lightweight Directory Access Protocol) cuando los usuarios y los grupos residen en un directorio LDAP externo.

Para ver esta página administrativa, realice los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En Repositorio de cuentas de usuario,pulse la lista desplegable Definiciones de reino disponibles, seleccione Registro LDAP autónomo y pulse Configurar.
  3. Bajo Propiedades adicionales, pulse Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol).

Los valores predeterminados para todos los filtros relacionados con los usuarios y el grupo están especificados en los campos adecuados. Puede modificar estos valores según sus necesidades. Estos valores predeterminados se basan en el tipo de servidor LDAP seleccionado en el panel de valores del Registro LDAP autónomo. Si se cambia este tipo, por ejemplo, Netscape por Secureway, los filtros predeterminados se modifican automáticamente. Cuando los valores de filtro predeterminados se modifican, el tipo de servidor LDAP cambia a Personalizado para indicar que se están utilizando filtros personalizados. Cuando se habilite la seguridad y se modifique una de estas propiedades, vaya al panel Seguridad global y pulse Aplicar o Aceptar para validar los cambios.

Nota: La creación de perfil inicial configura WebSphere Application Server para que utilice una opción de registro de seguridad para los repositorios federados con el registro basado en archivo. Esta configuración del registro de seguridad se puede cambiar y utilizar otras opciones, incluyendo el registro LDAP autónomo. En lugar de cambiar de la opción de los repositorios federados a la opción de registro LDAP autónomo en la configuración del repositorio de cuentas de usuario, puede que le interese más utilizar la opción de los repositorios federados, que proporciona configuración de LDAP. Los repositorios federados proporcionan un amplio abanico de prestaciones, incluyendo la posibilidad de tener uno o diversos registros de usuarios. Permite federar uno o más registros LDAP además de los registros basados en archivo y personalizados. También tiene mejores prestaciones de migración tras error y un sólido conjunto de prestaciones de gestión de miembros (usuarios y grupos). Es obligatorio utilizar repositorios federados si utiliza las nuevas prestaciones de gestión de miembros en WebSphere Portal 6.1 y posterior y en Process Server 6.1 y posterior. También es obligatorio utilizar repositorios federados para realizar el seguimiento de las referencias de LDAP, lo que es un requisito común en algunos entornos de servidor LDAP (como, por ejemplo, Microsoft Active Directory).

Se recomienda migrar de los registros LDAP autónomos a los repositorios federados. Si cambia a WebSphere Portal 6.1 y posterior o WebSphere Process Server 6.1 y posterior, debería migrar a los repositorios federados antes de realizar estas actualizaciones. Para obtener más información sobre los repositorios federados y sus prestaciones, consulte el tema Repositorios federados. Para obtener más información sobre cómo migrar a los repositorios federados, consulte el tema Migración de un repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados.

Filtro de usuario

Especifica el filtro de usuario LDAP para buscar usuarios en el registro de usuario.

Esta opción se utiliza generalmente para las asignaciones de rol a usuario de seguridad y especifica la propiedad mediante la cual se buscan usuarios en el servicio de directorios. Por ejemplo, para buscar usuarios según el ID de usuario, especifique (&(uid=%v)(objectclass=inetOrgPerson)). Para obtener más información sobre esta sintaxis, consulte la documentación del servicio de directorios LDAP.

Información Valor
Tipo de datos: Serie

Filtro de grupo

Especifica el filtro de grupo LDAP para buscar grupos en el registro de usuarios.

Esta opción se utiliza generalmente para las asignaciones de rol a grupo de seguridad y especifica la propiedad mediante la cual se buscan grupos en el servicio de directorios. Para obtener más información sobre esta sintaxis, consulte la documentación del servicio de directorios LDAP.

Información Valor
Tipo de datos: Serie

Correlación de ID de usuario

Especifica un filtro LDAP que correlaciona el nombre abreviado de un usuario con una entrada LDAP.

Especifica el fragmento de información que representa a los usuarios cuando éstos se visualizan. Por ejemplo, para visualizar entradas del tipo objectclass = inetOrgPerson según sus ID, especifique inetOrgPerson:uid. Este campo toma varios pares claseobjeto:propiedad delimitados por un signo de punto y coma (;).

Información Valor
Tipo de datos: Serie

Correlación de ID de grupo

Especifica un filtro LDAP que correlaciona el nombre abreviado de un grupo con una entrada LDAP.

Especifica el fragmento de información que representa a los grupos cuando éstos se visualizan. Por ejemplo, para visualizar grupos por sus nombres, especifique *:cn. El asterisco (*) es un carácter comodín que busca en cualquier clase de objeto en este caso. Este campo toma varios pares claseobjeto:propiedad delimitados por un signo de punto y coma (;).

Información Valor
Tipo de datos: Serie

Correlación de ID de miembro de grupo

Especifica el filtro LDAP que identifica las relaciones de usuarios con grupos.

Para los tipos de directorios SecureWay y Domino, este campo acepta varios pares clase_objeto:propiedad delimitados por un signo de punto y coma (;). En un par claseobjeto:propiedad, el valor de clase de objeto es el mismo definido en el filtro de grupo y la propiedad es el atributo de miembro. Si el valor de clase de objeto no coincide con la clase de objeto en el filtro de grupo, es posible que la autorización no se realice correctamente si los grupos se correlacionan con roles de seguridad. Para obtener más información sobre esta sintaxis, consulte la documentación del servicio de directorios LDAP.

Para IBM® Directory Server Sun ONE y Active Directory, este campo acepta varios pares de atributo_grupo:atributo_miembro delimitados por un signo de punto y coma (;). Estos pares se utilizan para buscar los miembros de grupo de un usuario mediante la enumeración de todos los atributos de grupo que posee un determinado usuario. Por ejemplo, el par de atributos memberof:member lo utiliza Active Directory y el par ibm-allGroup:member lo utiliza IBM Directory Server. Este campo también especifica la propiedad de una clase de objeto que almacene la lista de miembros pertenecientes al grupo representado por la clase de objeto. Para servidores de directorios LDAP soportados, consulte Servicios de directorios soportados.

Información Valor
Tipo de datos: Serie

Filtro de usuarios Kerberos

Especifica el valor de filtro de usuarios Kerberos. Este valor se puede modificar cuando se configura Kerberos y se activa como uno de los mecanismos de autenticación preferidos.

Información Valor
Tipo de datos: Serie

Modalidad de correlación de certificados

Especifica si deben correlacionarse los certificados X.509 en un directorio LDAP mediante EXACT_DN o CERTIFICATE_FILTER. Especifique CERTIFICATE_FILTER para utilizar el filtro de certificados especificado para la correlación.

Información Valor
Tipo de datos: Serie

Filtro de certificados

Especifica la propiedad de filtro de correlación de certificados para el filtro LDAP. El filtro se utiliza para correlacionar atributos del certificado de cliente con las entradas del registro LDAP.

Si hay más de una entrada LDAP que coincide con la especificación de filtro durante la ejecución, la autenticación falla porque el resultado es una coincidencia ambigua. La sintaxis o estructura de este filtro es: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). La especificación del filtro contiene un atributo LDAP que depende del esquema que el servidor LDAP deba utilizar según su configuración. La especificación de filtro también contiene uno de los atributos públicos del certificado de cliente. Debe comenzar con un signo de dólar ($) y un corchete de apertura ({) y acabar con un corchete de cierre (}). Puede utilizar los siguientes valores de atributos de certificado, donde las mayúsculas/minúsculas de las series son significativas:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    donde <xx> se sustituye por los caracteres que representan un componente válido del nombre distinguido de emisor. Por ejemplo, puede utilizar ${IssuerCN} para el nombre común de emisor.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    donde <xx> se sustituye por los caracteres que representan cualquier componente válido del nombre distinguido de asunto. Por ejemplo, puede utilizar ${SubjectCN} como nombre común de asunto.

  • ${Version}
Avoid trouble Avoid trouble: Los nombres alternativos de sujetos (SAN) no se admiten como elementos de filtro de certificados.gotcha
Información Valor
Tipo de datos: Serie

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_advldap
File name: usec_advldap.html