Autenticación de usuarios con registros LDAP en un bosque de Microsoft Active Directory

Autenticar un usuario en varios repositorios, o a través de un repositorio LDAP (Lightweight Directory Access Protocol) distribuido, como un bosque de Microsoft Active Directory puede constituir un reto. En cualquier búsqueda del registro de usuarios completo, la autenticación falla si hay más de una coincidencia en tiempo de ejecución como consecuencia de resultados ambiguos.

Antes de empezar

En un entorno de varios dominios de Microsoft Active Directory, el administrador de WebSphere Application Server debe considerar que el ID exclusivo predeterminado en Microsoft Active Directory es el atributo sAMAccountName de un usuario.

Acerca de esta tarea

Se garantiza la exclusividad de los ID de usuario dentro de un dominio único. Sin embargo, no se garantiza su exclusividad en un árbol o bosque. Por ejemplo, suponga que el ID de usuario, smith, se añade al bosque y a cada subdominio. La búsqueda de sAMAccountName=smith devuelve tres coincidencias. WebSphere Application Server no autentica este usuario cuando hay más de una coincidencia posible en el registro.
Figura 1. Estrategia de búsqueda de bosque.. Ilustración de búsqueda de sAMAccountName no exclusivo en todo el bosque.Estrategia de búsqueda de bosque

Puede mitigar esta condición cambiando el filtro de usuario que se basa en el atributo userPrincipalName del usuario, que es exclusivo en el bosque, en lugar de basarse en su atributo sAMAccountName. Sin embargo, los usuarios deben saber iniciar la sesión utilizando su userPrincipalName, que es posible que no lo sepan.

El procedimiento específico para establecer un filtro de usuario en un registro de usuarios LDAP depende del tipo de registro LDAP. En los ejemplos siguientes se muestra un procedimiento para un registro LDAP autónomo y un procedimiento para un registro de repositorio federado.

Procedimiento

  1. Establezca un filtro de usuario en un registro LDAP autónomo: Puede establecer el filtro de usuario en la página de valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol) para buscar userPrincipalName en lugar del valor sAMAccountName.
    Por ejemplo:
    (&(objectClass=user)(userPrincipalName=%w))
  2. Establezca un filtro de usuario en un registro de repositorios federados: Puede cambiar la propiedad log-in del repositorio LDAP a uid;cn, por ejemplo, mediante el uso de la consola administrativa.
    1. Pulse Seguridad > Seguridad global.
    2. En Definiciones de reino disponibles, seleccione Repositorios federados y a continuación Configurar. En un entorno de dominios de seguridad múltiples, pulse Dominios de seguridad > nombre_dominio. En Atributos de seguridad, expanda Reinos de usuario y pulse Personalizar para este dominio. Seleccione el tipo de reino como Repositorios federados y pulse Configurar.
    3. En Elementos relacionados, pulse Gestionar repositorios.
    4. Pulse Añadir > Repositorio LDAP.
    5. En Propiedades generales, añada la información siguiente:
      Identificador de repositorio
      bosque
      Tipo de directorio
      Microsoft Windows Active Directory
      Nombre de host primario
      forest.acme.net
      Puerto
      389
      Servidor de sustitución por anomalía utilizado cuando el primario no está disponible.
      Ninguno
      Nombre distinguido de enlace
      cn=wasbind, CN=Users, DC=ib
      Contraseña de enlace
      ********
      Propiedades de inicio de sesión
      uid;cn
  3. Pulse Aceptar y Guardar para guardar los cambios en la configuración maestra.
  4. En la página de configuración del repositorio LDAP, en Propiedades adicionales, pulse Atributos de LDAP.
  5. Pulse Añadir > Soportado.
  6. En el campo Nombre , escriba userPrincipalName.
  7. En el campo Nombre de propiedad , escriba cn.
  8. En el campo Tipos de entidad, especifique PersonAccount.
  9. Pulse Aceptar y Guardar para guardar los cambios en la configuración maestra.
  10. Busque el archivo {WAS_HOME}\profiles\{profileName}\config\cells\{cellName}\wim\config\wimconfig.xml o raíz_perfil/conf/cells/<cell>/wim/config/wimconfig.xml en la configuración del gestor de despliegue.
  11. Edite el archivo wimconfig.xml.
    1. Busque el atributo <config:attributeConfiguration> en el archivo.
    2. Añada las líneas siguientes:
      <config:attributes name="userPrincipalName" propertyName="cn">
      <config:entityTypes>PersonAccount</config:entityTypes>
      </config:attributes>
    Nota: El archivo wimconfig.xml se sobrescribe por el proceso de la consola administrativa. Puede que se pierdan las "3" líneas añadidas al archivo wimconfig.xml.
  12. Guarde el archivo wimconfig.xml.
  13. Ejecute el script raíz_perfil/bin/syncNode.bat o raíz_perfil/syncNode.bar/sh en todos los nodos de la configuración.

Resultados

Avoid trouble Avoid trouble: Antes de seleccionar uno de estos escenarios, consulte la información adecuada de Microsoft Active Directory para comprender las implicaciones de los escenarios en la planificación de la configuración.gotcha

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad_filter
File name: tsec_was_ad_filter.html