Configuración de LDAP (Lightweight Directory Access Protocol) en configuraciones de repositorios federados
Siga esta tema para configurar valores de LDAP (Lightweight Directory Access Protocol) en configuraciones de repositorios federados.
Antes de empezar
- Configuración de un solo repositorio de Lightweight Directory Access Protocol en una nueva configuración en repositorios federados
- Cambio de una configuración de repositorio federado para incluir sólo un repositorio de Lightweight Directory Access Protocol
- Configuración de varios repositorios LDAP (Lightweight Directory Access Protocol) en una configuración de repositorios federados
- Configuración de un único repositorio incorporado basado en archivos y uno o varios repositorios LDAP (Lightweight Directory Access Protocol) en una configuración de repositorios federados
- Gestión de repositorios de configuraciones de repositorios federados
Acerca de esta tarea
Procedimiento
- Escriba un identificador exclusivo para el repositorio en el campo Identificador de repositorio. Este identificador identifica de forma exclusiva el repositorio en la célula, por ejemplo: LDAP1.
- En la lista Tipo de directorio, seleccione el tipo de servidor LDAP que se utiliza. El tipo de servidor LDAP determina los filtros por omisión que utiliza
WebSphere Application Server.
Los usuarios de IBM® Tivoli Directory Server pueden seleccionar IBM Tivoli Directory Server o SecureWay como el tipo de directorio. Utilice el tipo de directorio IBM Tivoli Directory Server para obtener un mejor rendimiento. Para obtener una lista de los servidores LDAP soportados, consulte Utilización de servidores de directorios específicos como servidor LDAP.
- En el campo Nombre de host primario, escriba el nombre de host plenamente cualificado del servidor LDAP primario. Puede especificar la dirección IP o el nombre del sistema de nombres de dominio (DNS).
- En el campo Puerto, especifique el puerto del servidor de directorios LDAP. El nombre de host y el número de puerto representan el reino
de este servidor LDAP en una célula de nodos de versiones mixtas. Si
los servidores de distintas células se comunican entre sí con
señales LTPA (Lightweight Third Party Authentication), estos reinos deben
ser iguales en todas las células.
Toma por omisión 389, que no es una conexión SSL (Capa de sockets seguros). Utilice el puerto 636 para una conexión SSL (Capa de sockets seguros). Para algunos servidores LDAP, puede especificar un puerto diferente para una conexión SSL o no de SSL. Si no sabe qué puerto utilizar, póngase en contacto con el administrador del servidor LDAP.
Si hay varios programas WebSphere Application Servers instalados y configurados para ejecutarse en el mismo dominio de inicio de sesión único (SSO) o si WebSphere Application Server interactúa con una versión anterior de WebSphere Application Server, es importante que el número de puerto coincida en todas las configuraciones. Por ejemplo, si el puerto LDAP se ha especificado explícitamente como 389 en una configuración de la versión 5.x o 6.x y WebSphere Application Server versión 6.1. va a interactuar con el servidor de la versión 5.x o 6.x, debe verificar que se especifique explícitamente el puerto 389 para el servidor de la versión 6.1.
- Opcional: En el campo Nombre del servidor de sustitución por anomalía, escriba el nombre de host del servidor de sustitución por anomalía. Puede especificar un servidor de directorios secundario para utilizarse en el caso de que el servidor de directorios primario no esté disponible. Después de conmutar al servidor de directorios secundario, el repositorio LDAP intenta volver a conectar con el servidor de directorios primario cada 15 minutos.
- Opcional: En el campo Puerto, especifique el puerto del servidor LDAP de sustitución por anomalía y pulse Añadir. Toma por omisión 389, que no es una conexión SSL (Capa de sockets seguros). Utilice el puerto 636 para una conexión SSL (Capa de sockets seguros). Para algunos servidores LDAP, puede especificar un puerto diferente para una conexión SSL o no de SSL. Si no sabe qué puerto utilizar, póngase en contacto con el administrador del servidor LDAP.
- Opcional: Seleccione el tipo de referencia. Una referencia es una entidad que se utiliza para redirigir una solicitud de cliente a
otro servidor LDAP. Una referencia contiene los nombres y ubicaciones de otros objetos. El servidor la envía para indicar que la información que el cliente ha solicitado puede
encontrarse en otra ubicación, que puede ser otro servidor o en varios servidores. El valor predeterminado es ignore.
- ignore
- Se ignoran las referencias.
- seguir
- Las referencias se siguen automáticamente.
- Opcional: Especifique el tipo de soporte del seguimiento de cambios
de repositorio. El gestor de perfiles hace referencia a este valor antes de pasar
la solicitud al adaptador correspondiente.
Si el valor es none, no se llamará a ese repositorio
para recuperar las entidades modificadas.
- ninguno
- Especifica que no hay soporte de seguimiento de cambios para este repositorio.
- nativo
- Especifica que el mecanismo nativo de seguimiento de cambios del repositorio lo utiliza el gestor de miembros virtuales para devolver las entidades modificadas.
- Opcional: Especifique pares de nombres y valores arbitrarios como propiedades personalizadas. El nombre es una clave de propiedad y el valor es un valor de serie que puede utilizarse para establecer las propiedades internas de la configuración del sistema.Cuando se define una nueva propiedad, esto permite configurar un valor que no esté disponible en la consola administrativa.
- Opcional: Especifique el nombre DN de enlace en el campo Nombre distinguido de
enlace, por ejemplo, cn=root. El DN de enlace es necesario si no se pueden
realizar enlaces anónimos en el servidor LDAP para obtener información de
usuarios y grupos o para operaciones de grabación. En la mayoría de los casos, son necesarios el DN de enlace y la contraseña de enlace. No obstante, cuando un enlace anónimo puede satisfacer todas las funciones necesarias, no son necesarios el DN de enlace y la contraseña de enlace. Si el
servidor LDAP está configurado para utilizar enlaces anónimos, deje este
campo en blanco. Si no se especifica un nombre, el servidor de aplicaciones realiza
el enlace de forma anónima.
Nota: Para realizar o examinar consultas LDAP, se debe enlazar un cliente LDAP con el servidor LDAP utilizando el nombre distinguido (DN) de una cuenta que tenga autoridad para buscar y leer los valores de los atributos LDAP como, por ejemplo, la información de usuario y grupo. El administrador LDAP se asegura de que se hayan establecido los privilegios de acceso de lectura para el DN de enlace. Los privilegios de acceso de lectura permiten el acceso al subárbol del DN base y aseguran que las búsquedas de información de usuarios y grupos se realice correctamente.
El servidor del directorio proporciona un atributo operativo en cada entrada del directorio (por ejemplo, IBM Directory Server utiliza ibm-entryUuid como el atributo operativo). El valor de este atributo es un UUID (Universally Unique Identifier) que el servidor del directorio selecciona automáticamente cuando se añade la entrada y se espera que sea exclusivo: ninguna otra entrada con el mismo nombre o uno diferente debe tener este mismo valor. Los clientes del directorio pueden utilizar este atributo para diferenciar los objetos identificados mediante un nombre distinguido o para localizar un objeto después de cambiar su nombre. Asegúrese de que los credenciales de enlace tienen autorización para leer este atributo.
- Opcional: En el campo Contraseña de enlace, entre la contraseña que corresponde al DN de enlace.
- Opcional: En el campo Propiedades de inicio de sesión, especifique los nombres de las propiedades que se van a utilizar para iniciar la sesión de WebSphere
Application Server. Este campo toma muchas propiedades de inicio de sesión, delimitadas por un punto y coma (;). Por ejemplo, uid;mail.
Nota: Si desea que las propiedades de inicio de sesión sean sensibles a las mayúsculas y minúsculas, asegúrese de que se ha inhabilitado attributeCache. De forma alternativa, puede optar por definir nombres de propiedad de inicio de sesión que no son parte del elemento de nombre distinguido.
Durante el inicio de sesión, se buscan todas las propiedades de inicio de sesión. Si se encontraran varias entradas o ninguna entrada, se generaría una excepción. Por ejemplo, si especifica las propiedades de inicio de sesión como uid;mail y el ID de inicio de sesión como Pedro, el filtro de la búsqueda buscará uid=Pedro o mail=Pedro. Si la búsqueda devuelve una sola entrada, puede continuar la autenticación. De lo contrario, se generará una excepción.
Supported configurations: Si define varias propiedades de inicio de sesión, la primera propiedad de inicio de sesión se correlaciona mediante programa con la propiedad principalName de repositorios federados. Por ejemplo, si define uid;mail como propiedades de inicio de sesión, el valor del atributo uid LDAP se correlacionará con la propiedad principalName de los repositorios federados. Si define varias propiedades de inicio, tras el inicio de sesión, se devolverá la primera propiedad de inicio de sesión como el valor de la propiedad principalName. Por ejemplo, si pasa joe@yourco.com como valor de principalName y las propiedades de inicio de sesión se configuran como uid;mail, principalName se devuelve como joe.sptcfg
- Opcional: Especifique el atributo LDAP para el nombre principal de Kerberos. Este campo está habilitado y puede modificarse cuando se ha configurado Kerberos y es uno de los mecanismos de autenticación activos o preferidos.
- Opcional: En el campo Correlación de certificados, seleccione la modalidad de correlación de certificados. Puede utilizar certificados X.590 para autenticar a los usuarios cuando LDAP está seleccionado como el repositorio. El campo Correlación de certificados se utiliza para indicar si los certificados X.509 se deben correlacionar con un usuario de directorio LDAP mediante EXACT_DN o CERTIFICATE_FILTER. Si se selecciona EXACT_DN, el DN del certificado debe coincidir exactamente con la entrada de usuario del servidor LDAP, incluidos los espacios y las mayúsculas/minúsculas.
- Si selecciona CERTIFICATE_FILTER en el campo Correlación de certificados, especifique el filtro LDAP
para correlacionar atributos en el certificado de cliente con entradas de LDAP.
Si hay más de una entrada LDAP que coincide con la especificación de filtro durante la ejecución, la autenticación fallará ya que dará como resultado una coincidencia ambigua. La sintaxis o estructura de este filtro es:
LDAP attribute=${Client certificate attribute}
Por ejemplo, uid=${SubjectCN}.
El primer lado de la especificación de filtro (LDAP attribute) es un atributo LDAP que depende del esquema que el servidor LDAP deba utilizar según su configuración. El otro lado de la especificación de filtro (${Client certificate attribute}) es uno de los atributos públicos del certificado de cliente. Este lado debe comenzar con un signo del dólar ($), un paréntesis inicial ({) y acabar con un paréntesis final (}). Utilice los siguientes valores de atributos de certificados en este lado de la especificación de filtro. Es importante la distinción entre mayúsculas y minúsculas de las series:- {UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
donde <xx> se sustituye por los caracteres que representan un componente válido del nombre distinguido de emisor. Por ejemplo, puede utilizar ${IssuerCN} para el nombre común de emisor.
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
donde <xx> se sustituye por los caracteres que representan cualquier componente válido del nombre distinguido de asunto. Por ejemplo, puede utilizar ${SubjectCN} para el nombre común del asunto.
- ${Version}
- Opcional: Seleccione la opción Se necesitan comunicaciones SSL
si desea utilizar las comunicaciones SSL (Capa de sockets seguros) con el servidor LDAP. Si selecciona la opción Se necesitan comunicaciones SSL, puede seleccionar la opción Gestionado centralmente o Utilizar alias SSL específico.
- Gestionado centralmente
- Permite especificar una configuración SSL para un ámbito en particular como la célula,
el nodo, el servidor o el clúster de una ubicación. Para utilizar la opción Gestionado
centralmente, debe especificar la configuración SSL para el conjunto de puntos finales en particular. El panel Gestionar configuraciones de seguridad de punto final y zonas de confianza
muestra todos los puntos finales de entrada y salida que utilizan el protocolo SSL. Si expande la sección Entrada o Salida del panel y pulsa en el nombre del
nodo, puede especificar una configuración SSL que se utilice para todos los
puntos finales de ese nodo. Para registros LDAP, puede alterar temporalmente la
configuración SSL heredada especificando una configuración SSL para LDAP. Para especificar
una configuración SSL para LDAP, siga estas instrucciones:
- Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final y zonas de confianza.
- Expanda Salida > nombre_célula > Nodos > nombre_nodo > Servidores > nombre_servidor > LDAP.
- Utilizar alias SSL específico
- Seleccione la opción Utilizar alias SSL específico si tiene previsto
seleccionar una de las configuraciones SSL en el menú que sigue a la opción.Esta configuración sólo se utiliza cuando SSL esté habilitada para LDAP. El valor por omisión es DefaultSSLSettings. Para modificar o crear una nueva configuración SSL, siga estas instrucciones:
- Pulse Seguridad > Gestión de claves y certificados SSL.
- En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final y zonas de confianza > nombre_configuración.
- En Elementos relacionados, pulse Configuraciones SSL.
- Pulse Aceptar.
Resultados
Qué hacer a continuación
- Configuración de un solo repositorio de Lightweight Directory Access Protocol en una nueva configuración en repositorios federados
- Cambio de una configuración de repositorio federado para incluir sólo un repositorio de Lightweight Directory Access Protocol
- Configuración de varios repositorios LDAP (Lightweight Directory Access Protocol) en una configuración de repositorios federados
- Configuración de un único repositorio incorporado basado en archivos y uno o varios repositorios LDAP (Lightweight Directory Access Protocol) en una configuración de repositorios federados
- Gestión de repositorios de configuraciones de repositorios federados
Subtopics
Valores de la Configuración del repositorio LDAP (Lightweight Directory Access Protocol)
Utilice esta página para configurar un acceso seguro a un repositorio LDAP (Lightweight Directory Access Protocol) con servidores de migración tras error opcionales.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
File name: twim_ldap_settings.html