Soporte de grupos dinámicos y anidados para LDAP

Los grupos dinámicos y anidados simplifican la gestión de la seguridad de WebSphere Application Server y aumentan su eficacia y flexibilidad.

Los grupos dinámicos contienen un nombre de grupo y criterios de pertenencia:
  • La información de pertenencia de grupo está tan actualizada como la información del objeto de usuario.
  • No es necesario mantener manualmente los miembros en el objeto de grupo.
  • Los grupos dinámicos se designan de forma que una aplicación no necesita una gran cantidad de información del directorio para averiguar si alguien es miembro de un grupo.

Los grupos anidados permiten la creación de relaciones jerárquicas que se utilizan para definir la pertenencia de grupo heredada. Un grupo anidado se define como una entrada de grupo hijo a cuyo nombre distinguido (DN) hace referencia un atributo de entrada de grupo padre.

Si todos los grupos anidados comparten el mismo privilegio, sólo tiene que asignar un grupo padre más grande. La asignación de un rol a un único grupo padre simplifica la tabla de autorizaciones de tiempo de ejecución.

Soporte de grupos dinámicos y anidados para IBM Tivoli Directory Server

WebSphere Application Server da soporte a todos los grupos LDAP (Lightweight Directory Access Protocol) dinámicos y anidados cuando se utiliza IBM® Tivoli Directory Server. Esta función se habilita por omisión aprovechando una nueva característica de IBM Tivoli Directory Server. IBM Tivoli Directory Server utiliza el atributo de grupo de referencia de avance ibm-allGroups que calcula automáticamente todas las pertenencias de grupo, incluidas las pertenencias dinámicas y recursivas de un usuario. La seguridad localiza directamente la pertenencia de grupo de un usuario a partir de un objeto de usuario, en lugar de buscar indirectamente todos los grupos para ver los miembros de grupo coincidentes.

Para obtener más información, consulte el apartado Configuración del soporte de grupos anidados y dinámicos para IBM Tivoli Directory Server.

[IBM i]Al crear grupos, asegúrese de que los miembros de grupos anidados y dinámicos funcionan correctamente.

Soporte de grupo dinámico y anidado para SunONE Directory Server o iPlanet Directory Server

SunONE Directory Server o iPlanet Directory Server utiliza dos mecanismos de agrupación:
Grupos
Entradas que denominan otras entradas como una lista de miembros o un filtro de miembros.
Roles
Entradas que denominan otras entradas como una lista de miembros o un filtro de miembros. Se proporciona una funcionalidad adicional, al generar el atributo nsrole en cada miembro de rol.
Hay disponibles tres tipos de roles:
Roles filtrados
Depende de los atributos contenidos en cada entrada. Las entradas son miembros, si coinciden con un filtro LDAP (Lightweight Directory Access Protocol) especificado. Este rol es equivalente a un grupo dinámico.
Roles anidados
Crea roles que contienen otros roles. Este rol es equivalente a un grupo anidado.
Roles gestionados
Asigna explícitamente un rol a las entradas de miembro. Este rol es equivalente a un grupo estático.

Consulte Configuración del soporte de grupos anidados y dinámicos para SunONE Directory Server y iPlanet Directory Server para obtener más información.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_dynamicnestedgroup
File name: csec_dynamicnestedgroup.html