Opciones para buscar la pertenencia a grupos dentro de un bosque de Microsoft Active Directory

Para autenticar usuarios es necesario buscar la pertenencia a grupos con el bosque de Microsoft Active Directory. Existen diversos métodos para buscar la pertenencia a grupos dentro del bosque de Microsoft Active Directory.

La ilustración siguiente muestra un ejemplo de pertenencia a grupos con el bosque de Microsoft Active Directory. Esta figura se utiliza para explicar los métodos de búsqueda de la pertenencia a grupos.

Figura 1. Búsqueda de la pertenencia a grupos. Ilustración de métodos de búsqueda de pertenencia a grupos.Búsqueda de la pertenencia a grupos
  • La opción 1 no utiliza grupos anidados, y los pasos siguientes describen el proceso de búsqueda de la pertenencia a grupos con una estructura organizativa hipotética.
    • Cree un grupo global de empleados NA.
    • Cree un grupo global de empleados EU.
    • Correlacione el rol Java™ Platform Enterprise Edition (Java EE) con empleados NA + empleados EU. Esta correlación puede ser difícil si hay demasiados subdominios.
    • Habilite las referencias.
      En WebSphere Application Server Versión 6.1, utilice los repositorios federados, específicamente:
      • Utilice un reino federado.
      • Añada el controlador de dominios de nivel superior de Microsoft Active Directory al repositorio. No añada controladores de subdominio. Como consecuencia, se producen numerosas coincidencias al efectuar las búsquedas de ID de usuarios. Estas coincidencias provocan un error en el inicio de sesión del usuario.
      • Seleccione "Soporte de referencias a otros servidores LDAP" = "follow".
  • La opción 2 utiliza grupos universales.
    • Coloque los usuarios individuales en el grupo universal Empleados.
      Requisitos:
      • Los niveles funcionales de dominio nativo de Windows 2003 son necesarios.
      • Los ID de usuario deben estar contenidos directamente en los grupos universales.
    • Correlacione el rol Java EE con Empleados.
    • Conectarse a cualquier catálogo global del bosque.
      Consejo: Esta opción reduce la cantidad de tráfico de búsqueda de directorio. WebSphere Application Server no tiene que seguir todas las referencias en el árbol de directorio. Es decir, cada controlador de dominio puede resolver totalmente la información de grupo de forma local.
  • La opción 3 utiliza grupos anidados.
    • Cree el grupo universal, Empleados.
    • Cree Empleados NA y Empleados EU como grupos globales y conviértalos en miembros del grupo universal Empleados.
      Requisitos: Niveles funcionales de dominio nativo de Windows.
    • Correlacione el rol Java JEE con "Empleados".
    • Habilite las referencias.
      En WebSphere Application Server Versión 6.1, utilice los repositorios federados, específicamente:
      • Utilice un reino federado.
      • Añada el controlador de dominios de nivel superior de Active Directory al repositorio. No añada los controladores de subdominio, ya que esto resultará en diversas coincidencias al realizar la búsqueda de ID de usuarios y se producirá un error del inicio de sesión.
      • Seleccione "Soporte de referencias a otros servidores LDAP" = "follow".
    • Habilite los grupos anidados.
    Consejo: Esta opción ofrece el enfoque óptimo si utiliza WebSphere Application Server Versión 6.1 o posterior. Antes de WebSphere Application Server versión 6.1, las referencias no estaban admitidas oficialmente.

Resumen

En la tabla siguiente se resume cómo buscar la pertenencia a grupos dentro de un bosque de Microsoft Active Directory.
Tabla 1. Búsqueda de la pertenencia a grupos. En la tabla siguiente se identifican los niveles de pertenencia a grupos soportados en un bosque de Microsoft Active Directory.
Pertenencia a grupos Correlacionar roles Java EE con Enlazar con qué LDAP Habilitar Soportado en WebSphere Application Server Versión Comentarios
Grupos globales Colección de grupos globales Controlador de dominio superior utilizando el puerto 389/636 Referencias
  • Repositorios federados en WebSphere Application Server
 
Grupos universales Grupos universales Cualquier catálogo global, que utiliza el puerto 3268   Todos  
Grupos globales en grupos universales Grupos universales Controlador de dominio superior utilizando el puerto 389/636 Referencias, anidamiento
  • Repositorios federados en WebSphere Application Server
No se puede utilizar el nivel funcional de dominio mixto de Windows

Configuración del uso del atributo objectCategory

Un repositorio federado utiliza el atributo objectCategoryde forma predeterminada para los filtros de búsqueda de usuarios De Active Directory. Puede asegurarse de que el repositorio federado esté configurado para utilizar el atributo objectCategory. Por ejemplo, el archivo de configuración de repositorios federados, wimconfig.xml, debe ser como se muestra en el ejemplo siguiente:
<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
Configurar el filtro de usuario y el filtro de grupo (propiedades avanzadas) como el ejemplo siguiente:
Filtro de usuario: (&(sAMAccountName=%v)(objectCategory=user))
Filtro de grupo: (&cn=%v)(objectCategory=group)
Siga las instrucciones siguientes desde la consola administrativa para completar el filtro de búsqueda con el atributo objectCategory.
  1. Pulse Seguridad > Seguridad global.
  2. En Definiciones de reino disponibles, seleccione Repositorios federados y a continuación Configurar. En un entorno de dominio de seguridad múltiple, pulse Dominios de seguridad > nombre_dominio. En Atributos de seguridad, expanda Reinos de usuario y pulse Personalizar para este dominio. Seleccione el tipo de reino como Repositorios federados y pulse Configurar.
  3. En Elementos relacionados, pulse Gestionar repositorios.
  4. Seleccione Bosque > Tipos de entidad LDAP > PersonAccount. En Propiedades generales, busque el recuadro Filtro de búsqueda.
  5. Rellene el filtro de búsqueda.
    (objectCategory=user)
Avoid trouble Avoid trouble: Antes de seleccionar uno de estos escenarios, consulte la información adecuada de Microsoft Active Directory para comprender las implicaciones de los escenarios en la planificación de la configuración.gotcha

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_group_mem
File name: csec_was_ad_group_mem.html