Migración de un repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados
Cuando se configura la seguridad para el servidor de aplicaciones, es posible que necesite migrar un registro LDAP autónomo a una configuración de repositorios federados del repositorio de LDAP.
Antes de empezar
Observe las especificaciones del repositorio LDAP autónomo que desea migrar, como referencia al configurar el repositorio LDAP en repositorios federados. Para acceder a estos campos, en la consola administrativa, pulse Seguridad > Seguridad global y, a continuación, en Repositorio de cuenta de usuario, seleccione Registro LDAP autónomo o Repositorios federados en el campo Definiciones de reino disponibles y pulse Configurar. Para acceder a estos campos en un entorno de dominio de seguridad múltiple, pulse Seguridad > Seguridad Global > Dominios de seguridad > nombre_dominio y, a continuación, en Atributos de seguridad, amplíe Reino de usuario y pulse Personalizar para este dominio. Seleccione el tipo de reino como Registro de LDAP autónomo o Repositorios federados y pulse Configurar.

En la tabla siguiente se muestran los paneles de la consola administrativa y los campos de la configuración del repositorio LDAP autónomo y sus campos correspondientes en una configuración de repositorio LDAP de repositorios federados para la correlación.
Configuración del repositorio LDAP autónomo | Repositorio LDAP en una configuración de repositorios federados |
---|---|
Seguridad global > Registro de LDAP autónomo Propiedades generales – Nombre de usuario administrativo primario |
Seguridad Global > Repositorios federados Propiedades generales – Nombre de usuario administrativo primario |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Tipo de servidor LDAP |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Servidor LDAP – Tipo de directorio |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Host |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Servidor LDAP – Nombre de host primario |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Puerto |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Servidor LDAP – Puerto |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Hosts de migración tras error |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Servidor LDAP – Servidor de migración tras error utilizado cuando el primario no está disponible. |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Nombre distinguido (DN) básico |
Seguridad global > Repositorios federados > Referencia de repositorio
(pulse Añadir entrada base a reino) Propiedades generales – Nombre distinguido de una entrada base que identifica de forma exclusiva este conjunto de entradas en el reino y Propiedades generales – Nombre distinguido de una entrada base en este repositorio |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Tiempo de espera de búsqueda |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorio > Rendimiento Propiedades generales - Tiempo de búsqueda límite |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Propiedades personalizadas |
Seguridad global > Repositorios federados > Propiedades personalizadas |
Seguridad global > Registro de LDAP autónomo Servidor LDAP – Identidad de usuario de servidor |
Seguridad Global > Repositorios federados Propiedades generales – Identidad de usuario de servidor |
Seguridad global > Registro de LDAP autónomo Seguridad – Nombre distinguido (DN) de enlace |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Seguridad – Nombre distinguido de enlace |
Seguridad global > Registro de LDAP autónomo Seguridad – Contraseña de enlace |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Seguridad – Contraseña de enlace |
Seguridad global > Registro de LDAP autónomo >
Valores de registro de usuarios LDAP (Advanced Lightweight
Directory Access Protocol) Propiedades generales – Filtro de usuarios Kerberos |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Seguridad – Atributo LDAP utilizado para el nombre de principal Kerberos |
Seguridad global > Registro de LDAP autónomo >
Valores de registro de usuarios LDAP (Advanced Lightweight
Directory Access Protocol) Propiedades generales – Modalidad de correlación de certificado |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Seguridad– Correlación de certificado |
Seguridad global > Registro de LDAP autónomo >
Valores de registro de usuarios LDAP (Advanced Lightweight
Directory Access Protocol) Propiedades generales – Filtro de certificados |
Seguridad global > Repositorios federados > Gestionar
repositorios > ID_repositorios Seguridad – Filtro de certificados |
El campo Nombre de reino bajo Propiedades generales del panel de configuración LDAP de los repositorios federados no aparece listado en la tabla anterior porque no tiene una correspondencia unívoca con un campo en el panel de configuración LDAP autónomo. El nombre de host y el número de puerto representan el nombre de reino del servidor LDAP autónomo en la célula de WebSphere Application Server. Para obtener información sobre cómo cambiar el nombre del reino, consulte el tema Valores de Configuración del reino.
Los campos Filtro de usuario, Filtro de grupo, Correlación de ID de usuario, Correlación de ID de grupo y Correlación de ID de miembro de grupo tampoco se listan en la tabla anterior porque no tienen una correspondencia unívoca con los campos del panel de configuración de repositorio LDAP de repositorios federados. Estos atributos LDAP se establecen de forma distinta en la configuración de repositorio LDAP de repositorios federados e implican varios pasos. Estos valores se explican detalladamente en las siguientes secciones y procedimiento.
Acerca de esta tarea
La migración de una configuración de repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados implica migrar los parámetros de configuración, la mayoría de los cuales son directos como se muestra en la Tabla 1 de la sección anterior. La migración de los filtros de búsqueda es una parte importante de la migración de una configuración de repositorio LDAP autónomo a una configuración de LDAP de repositorios federados; por lo tanto, el concepto y la migración de los filtros de búsqueda de LDAP se describe aquí en detalle.
Los filtros de búsqueda del registro LDAP autónomo siguen la sintaxis del filtro LDAP, donde se especifica el atributo en los que se basa la búsqueda y su valor.
El filtro de usuario se utiliza para buscar usuarios en el registro. Se utiliza para autenticar un usuario utilizando el atributo especificado en el filtro.
El filtro de grupo se utiliza para buscar grupos en el registro. Especifica la propiedad mediante la cual se buscan grupos.
(&(uid=%v)(objectclass=ePerson))
Busca usuarios donde el atributo uid coincide con el patrón de búsqueda especificado de la clase de objeto ePerson.
(&(cn=%v)(objectclass=user))
Busca usuarios donde el atributo cn coincide con el patrón de búsqueda especificado de la clase de objeto de usuario.
(&(sAMAccountName=%v)(objectcategory=user))
Busca usuarios donde el atributo sAMAccountName coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.
(&(userPrincipalName=%v)(objectcategory=user))
Busca usuarios donde el atributo userPrinciplalName coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.
(&(mail=%v)(objectcategory=user))
Busca usuarios donde el atributo mail coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.
(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))
Las búsquedas de usuarios en el sAMAccountName o el userPrincipalName coincide con el patrón de búsqueda especificado de la categoría del objeto de usuario.
Ejemplos de filtros de grupo utilizados habitualmente:
(&cn=%v)(objectCategory=group)
Busca de grupos según sus nombres comunes (cn).
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Busca grupos según sus nombres comunes (cn) y utilizando la clase de objeto de groupOfNames o groupOfUniqueNames.
Como se muestra en estos ejemplos, un filtro de búsqueda de registro LDAP autónomo consta de atributos LDAP y clases de objeto, a partir de los cuales se realiza la búsqueda o el inicio de sesión.
También puede especificar los atributos de LDAP y las clases de objetos en la configuración de adaptador LDAP de repositorios federados, pero están configurados de forma diferente y proporcionan más flexibilidad. En los repositorios federados el usuario está representado como tipo de entidad PersonAccount y el grupo como tipo de entidad Group. Cada tipo de entidad puede tener su propia propiedad RDN (Nombre Distinguido Relativo) (rdnProperties) y clase de objeto. Por ejemplo, la propiedad RDN predeterminada de PersonAccount es uid, y la propiedad RDN predeterminada de Group es cn. La correlación de una clase de objeto predeterminada depende del tipo de servidor LDAP. Por ejemplo, para Tivoli Directory Server, la clase de objeto para PersonAccount es inetOrgPerson y la clase de objeto para Group es groupOfNames. PersonAccount también puede tener propiedades de inicio de sesión. Cuando un usuario inicia sesión o se realiza una búsqueda para un usuario en un registro de usuarios, estas propiedades de inicio coinciden con el patrón. Por ejemplo, si las propiedades de inicio son uid y mail, entonces para el patrón de búsqueda a*, se devolverán todos los usuarios que coincidan con uid=a* o mail=a*.

La migración de los filtros de búsqueda implica uno o varios de los pasos siguientes: establecer las propiedades de inicio de sesión correctas, correlacionar los atributos del repositorio de fondo con las propiedades de los repositorios federados, establecer la clase de objeto, establecer el filtro de búsqueda utilizando la categoría de objeto o clase de objeto, y establecer el atributo de miembro o pertenencia. Esta correlación y configuración de repositorios federados se mantiene en el archivo wimconfig.xml.
- Filtro de atributos de usuario o grupo
- Filtro de categoría de objeto o clase de objeto de usuario o grupo
- El filtro de atributo es (cn=%v)
- El filtro de clase de objeto es (objectclass=user)
- El filtro de atributo está correlacionado con la configuración de las propiedades de inicio de sesión o las propiedades RDN para el usuario y con la configuración de las propiedades RDN para el grupo.
- El filtro de la clase de objeto está correlacionado con la configuración de tipo de entidad del adaptador LDAP.
- Filtro de atributo:
- Establecer la propiedad RDN y/o las propiedades de inicio de sesión (si es aplicable)
- Correlacionar la propiedad de repositorios federados con el atributo LDAP (si es aplicable)
- Filtro de clase de objeto:
- Establecer la clase de objeto para el tipo de entidad (si es aplicable)
- Establecer el filtro de búsqueda del tipo de entidad (si es aplicable)
- El ejemplo 1 se aplica al caso en que se está migrando el filtro de búsqueda (&(cn=%v)(objectclass=ePerson)) de un repositorio LDAP autónomo de IBM Tivoli Directory Server a un repositorio LDAP de repositorios federados con el identificador LDAPTDS.
- El ejemplo 2 se aplica al caso en que se está migrando el filtro de búsqueda (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) de un repositorio LDAP autónomo de Active Directory a un repositorio LDAP de repositorios federados con el identificador LDAPAD. Los atributos sAMAccountName y userPrincipalName no están definidos en los repositorios federados, de modo que estos atributos deben correlacionarse con la propiedades de los repositorios federados.