Para acceder a un registro de usuarios mediante LDAP (Lightweight Directory Access Protocol), debe conocer un nombre de usuario válido (ID), la contraseña, el host del servidor y el puerto del servidor del registro, el nombre distinguido (DN) básico y,
si es necesario, el DN de enlace y la contraseña de enlace. Puede elegir cualquier
usuario válido en el registro de usuario que se pueda buscar.
Puede utilizar cualquier ID de usuario que tenga el rol administrativo para iniciar la sesión.
Antes de empezar
Nota: En este tema se hace referencia a uno o más de los archivos de registro del servidor de aplicaciones. Como alternativa recomendada, puede configurar el servidor para utilizar la infraestructura de registro y rastreo HPEL en lugar de utilizar los archivos SystemOut.log , SystemErr.log, trace.log y activity.log en sistemas distribuidos y de IBM® i. Puede también utilizar HPEL junto con sus recursos de registro nativos de z/OS. Si utiliza HPEL, puede acceder a toda la
información de registro y rastreo utilizando la herramienta de línea de mandatos LogViewer desde
el directorio bin de perfil de servidor. Consulte la información sobre la utilización de HPEL
para resolver problemas de aplicaciones para obtener más información sobre la utilización de
HPEL.
Hay dos identidades diferentes que se utilizan para fines de seguridad: el ID
de usuario para funciones administrativas y la identidad del servidor. Si se ha
habilitado la seguridad administrativa, se autentican con el registro el ID de usuario y
la contraseña para las funciones administrativas. Si se produce un error de autenticación, no se concederá el acceso a la consola
administrativa ni se pueden realizar tareas con los scripts wsadmin. Es importante elegir un ID y una contraseña que no caduquen ni se modifiquen
a menudo. Si debe cambiar este ID de usuario o contraseña en el registro, asegúrese de
que los cambios se realizan cuando todos los servidores de aplicaciones estén en
ejecución.
Cuando realice cambios en el registro, revise el artículo sobre Registros de LDAP (Lightweight Directory Access Protocol) autónomo (LDAP) antes de empezar esta tarea.
La identidad del servidor se utiliza para la comunicación
de procesos internos. Como parte de esta tarea, puede cambiar la identidad del servidor
del ID predeterminado generado automáticamente a un ID de servidor y contraseña del
repositorio LDAP.
Procedimiento
- En la consola administrativa, pulse .
- En Repositorio de cuentas de usuario,pulse la lista desplegable Definiciones de reino disponibles, seleccione
Registro LDAP autónomo y pulse Configurar.
- Escriba un nombre de usuario válido en el campo Nombre de usuario administrativo primario. El nombre de usuario es el nombre abreviado del usuario que se define mediante el
filtro de usuario en el panel Valores LDAP avanzados.
- Determine si va a especificar la identidad de usuario que se utiliza para la
comunicación de procesos internos. Las células que contienen nodos de la Versión 5.1 o 6.x requieren una identidad de
usuario de servidor que esté definida en el repositorio de usuarios activo. De forma predeterminada, la
opción Identidad de servidor generada automáticamente está habilitada y el servidor de
aplicaciones genera la identidad del servidor. No obstante, puede seleccionar la opción La identidad
del servidor que se almacena en el repositorio para especificar la identidad
del servidor y su contraseña asociada.
- En la lista Tipo seleccione el tipo de servidor LDAP que se ha de utilizar. El tipo de servidor LDAP determina los filtros por omisión que utiliza
WebSphere Application Server. Estos filtros por omisión cambian el campo Tipo a
Personalizado, lo que indica que se están utilizando los filtros
personalizados. Esta acción se produce después de pulsar Aceptar o
Aplicar en el panel Valores LDAP avanzados. Elija el tipo Personalizado en la lista y modifique los filtros de usuario y grupo para que utilicen otros servidores LDAP, si es necesario.
Los usuarios de IBM Tivoli Directory Server pueden
seleccionar IBM Tivoli Directory
Server como tipo de directorio. Utilice el tipo de directorio IBM Tivoli Directory Server para obtener un mejor rendimiento.
Atención: IBM SecureWay Directory Server ha cambiado su
nombre por el de IBM Tivoli Directory
Server en WebSphere Application
Server versión 6.1.
- Escriba el nombre de host plenamente cualificado del
servidor LDAP en el campo Host. Puede especificar la
dirección IP o el nombre del sistema de nombres de dominio (DNS).
- Escriba el número de puerto del servidor LDAP en el campo Puerto. El nombre de host y el número de puerto representan el reino
de este servidor LDAP en la célula de WebSphere Application
Server. Por lo
tanto, si los servidores de distintas células se comunican entre sí con
símbolos LTPA (Lightweight Third Party Authentication), estos reinos debe
ser iguales en todas las células.
El valor por omisión
es 389. Si hay varios programas WebSphere Application
Server instalados y configurados para ejecutarse en el mismo dominio
de inicio de sesión único (SSO) o si WebSphere Application
Server interactúa con una versión anterior de WebSphere Application Server, es
importante que el número de puerto coincida con todas las
configuraciones.
Por ejemplo, si el puerto LDAP se ha especificado
explícitamente como 389 en una configuración de la versión 5.x y un servidor WebSphere Application
Server de la versión 6.0.x va a interactuar con el servidor de la
versión 5.x, compruebe que el puerto 389 se haya
especificado explícitamente para el servidor de la versión 6.0.x.
Puede establecer la propiedad personalizada
com.ibm.websphere.security.ldap.logicRealm para cambiar el valor del nombre del reino que
se ubica en la señal. Para obtener más información, consulte el tema Propiedades
personalizadas de seguridad.
- Escriba el nombre distinguido (DN) básico en el campo Nombre distinguido (DN) básico. El DN básico indica el punto de partida para las
búsquedas en este servidor de directorios LDAP. Por ejemplo, para un usuario con un DN cn=John Doe, ou=Rochester, o=IBM, c=US, especifique el DN como una de las siguientes opciones, dando
por supuesto el sufijo c=us:
- ou=Rochester, o=IBM, c=us
- o=IBM, c=us
- c=us
Para fines de autorización, este campo es sensible
a las mayúsculas y minúsculas por omisión. Haga coincidir las mayúsculas y minúsculas en
el servidor de directorios. Si se recibe una señal (por ejemplo, de otro otra
célula o de Lotus Domino) el DN básico del servidor
debe coincidir exactamente con el DN básico
de la otra célula o servidor Domino.
Si no es necesario tener en cuenta la sensibilidad a mayúsculas y minúsculas para la
autorización, habilite la opción Ignorar mayúsculas/minúsculas para autorización. En
WebSphere
Application Server, el nombre distinguido se normaliza según la
especificación LDAP (Lightweight Directory Access Protocol). La normalización consiste en eliminar espacios en el nombre distinguido base
antes o después de las comas y de los signos de igual. Un ejemplo de un nombre distinguido básico no normalizado es o = ibm, c = us u o=ibm, c=us. Un ejemplo de un nombre distinguido básico normalizado es o=ibm,c=us.
Para interoperar entre WebSphere Application Server
Versión 6.0 y versiones posteriores, debe especificar un nombre distinguido básico normalizado en el campo Nombre distinguido básico.
En WebSphere Application Server, Versión 6.0 o posteriores,
la normalización se produce automáticamente durante la ejecución.
Este campo es
necesario para todos los directorios LDAP, excepto para el directorio Lotus Domino. El campo Nombre
distinguido básico es opcional para el servidor Domino.
- Opcional: Entre el nombre DN de enlace en el campo Nombre
distinguido de enlace. El DN de enlace es necesario si no se pueden
realizar enlaces anónimos en el servidor LDAP para obtener información de
usuarios y grupos. Si el
servidor LDAP está configurado para utilizar enlaces anónimos, deje este
campo en blanco. Si no se especifica un nombre, el servidor de aplicaciones realiza
el enlace de forma anónima. Consulte la descripción del
campo Nombre distinguido básico para ver ejemplos de
nombres distinguidos.
- Opcional: Entre la contraseña correspondiente al DN de enlace
en el campo Contraseña de enlace.
- Opcional: Modifique el valor de Tiempo de espera de la
búsqueda. Este valor es el máximo período de tiempo que el servidor LDAP
espera a enviar una respuesta al cliente del producto antes de
detener la solicitud. El valor por omisión es de 120 segundos.
- Compruebe que la opción Reutilizar conexión esté seleccionada. Esta opción especifica que el servidor debe reutilizar las conexiones LDAP. Deseleccione esta opción en los casos excepcionales en que se utilice un
direccionador para enviar las solicitudes a varios servidores LDAP y éste no dé
soporte a la afinidad. Deje esta opción seleccionada en las demás situaciones.
- Opcional: Verifique que está habilitada la opción Ignorar mayúsculas para autorización. Cuando se habilita esta opción, la comprobación de autorización no será
sensible a las mayúsculas/minúsculas. Normalmente, para la comprobar
la autorización es necesario comprobar el DN completo de un usuario, que
es exclusivo en el servidor LDAP, y es sensible a las mayúsculas y
minúsculas. No obstante, cuando utilice los servidores
LDAP IBM Directory Server o Sun ONE
(anteriormente iPlanet) Directory Server, debe habilitar esta opción, ya
que la información de grupo que se obtiene de los servidores LDAP
no es coherente en las mayúsculas y minúsculas. Esta incoherencia sólo afecta a la comprobación de
autorización. De lo contrario, este campo es opcional y se puede
habilitar cuando sea necesario realizar una comprobación de autorización sensible a las
mayúsculas y minúsculas.
Por ejemplo, puede seleccionar esta opción cuando utilice
certificados y el contenido de los certificados no coincidan con las
mayúsculas/minúsculas de la entrada en el servidor LDAP.
También
puede habilitar la opción Ignorar mayúsculas/minúsculas para
autorización cuando utilice el inicio de sesión único (SSO) entre el
producto y
Lotus Domino.
El valor por omisión es habilitado.
- Opcional: Seleccione la opción Habilitado para
SSL si desea utilizar las comunicaciones SSL con el servidor LDAP.
Importante: Este paso sólo será satisfactorio siempre que primero se añada al almacén de confianza el certificado de firmante para LDAP que se utilizará con el tiempo. Si el certificado de firmante de LDAP no se añade al almacén de confianza, ocurrirá lo siguiente:
- La consola administrativa emitirá un error.
- El systemout.log del gestor de despliegue (DMGR) muestra el mensaje CWPKI0022E: ERROR EN EL RECONOCIMIENTO DE COMUNICACIÓN que indica que es necesario añadir el certificado de firmante al almacén de confianza.
Para asegurar que no se produzca ningún error en la operación en este paso, primero es necesario extraer a un archivo el certificado de firmante de LDAP y enviar dicho archivo a la máquina donde se encuentra WebSphereApplication
Server. Entonces podrá añadir el certificado al almacén de confianza que se define para LDAP. De esta forma, se asegura de que las acciones restantes para este paso serán satisfactorias.
Si selecciona la opción
Habilitado para SSL, puede seleccionar la opción
Gestionado centralmente o
Utilizar alias SSL específico.
- Gestionado centralmente
- Permite especificar una configuración SSL para un ámbito en particular como la célula,
el nodo, el servidor o el clúster de una ubicación. Para utilizar la opción Gestionado
centralmente, debe especificar la configuración SSL para el conjunto de puntos finales en particular. El panel Gestionar configuraciones de seguridad de punto final y zonas de confianza
muestra todos los puntos finales de entrada y salida que utilizan el protocolo SSL. Si expande la sección Entrada o Salida del panel y pulsa en el nombre del
nodo, puede especificar una configuración SSL que se utilice para todos los
puntos finales de ese nodo. Para registros LDAP, puede alterar temporalmente la
configuración SSL heredada especificando una configuración SSL para LDAP. Para especificar
una configuración SSL para LDAP, siga estas instrucciones:
- Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar
configuraciones de seguridad de punto final y zonas de confianza.
- Expanda Salida > nombre_célula > Nodos > nombre_nodo >
Servidores > nombre_servidor > LDAP.
- Utilizar alias SSL específico
- Seleccione la opción Utilizar alias SSL específico si tiene previsto
seleccionar una de las configuraciones SSL en el menú.
Esta configuración sólo se utiliza cuando SSL esté habilitada para
LDAP. El valor por omisión es
DefaultSSLSettings.
Puede pulsar el nombre de una configuración
existente para modificarla completar los siguientes pasos para crear una nueva configuración SSL:
- Pulse Seguridad > Gestión de claves y certificados SSL.
- En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final .
- Seleccione un nombre_configuración SSL (Capa de sockets seguros) para ámbitos seleccionados como, por ejemplo, una célula, nodo, servidor o clúster.
- En Elementos relacionados, pulse Configuraciones SSL.
- Pulse Nuevo.
- Pulse Aceptar o Aplicar hasta que vuelva al panel Seguridad global y, en la página Seguridad global, pulse Guardar, para asegurarse de que se guarde la configuración LDAP.
- Compruebe si Definiciones del reino disponibles se ha establecido en Registro LDAP autónomo. Si no es así, selecciónelo en el menú desplegable y pulse Establecer como actual y Aplicar.
Resultados
Este conjunto de pasos es necesario para configurar el registro
de usuario LDAP.
Este paso es necesario como parte del proceso de
habilitación de la seguridad de WebSphere Application Server.
Qué hacer a continuación
- Si está habilitando la seguridad, lleve a cabo los pasos restantes
como se especifica en Habilitación de la seguridad del dominio.
Si desea utilizar la autorización System Authorization Facility (SAF) con
el registro LDAP, consulte
Consideraciones de SAF (System Authorization Facility) para los niveles de sistema operativo y aplicación para obtener más
información.
- Para que los cambios realizados en este panel entren en vigor, guarde,
detenga y reinicie todos los servidores del producto (gestores de despliegue, nodos y
servidores de aplicaciones).
Si el servidor se inicia sin sufrir ninguna anomalía significa que la configuración es correcta.