Registros de LDAP (Lightweight Directory Access Protocol) autónomo
Un registro LDAP (Lightweight Directory Access Protocol) autónomo realiza la autenticación utilizando un enlace LDAP.
La seguridad de WebSphere Application Server proporciona y soporta la implementación de la mayoría de servidores de directorio LDAP, que pueden actuar como repositorio de información de usuarios y grupos. Estos servidores LDAP son invocados por los procesos del producto para autenticar un usuario y otras tareas relacionadas con la seguridad. Por ejemplo, los servidores se utilizan para obtener información de usuario o de grupo. Este soporte se proporciona utilizando distintos filtros de usuario y de grupo para obtener la información de usuario y de grupo. Estos filtros tienen valores predeterminados que se pueden modificar para adaptarse a sus necesidades. La característica LDAP personalizada permite utilizar otro servidor LDAP, que no esté en la lista de servidores LDAP soportados por el producto, para el registro de usuarios, utilizando los filtros adecuados.
Se recomienda migrar de los registros LDAP autónomos a los repositorios federados. Si cambia a WebSphere Portal 6.1 y superior o WebSphere Process Server 6.1 y superior, debería migrar a los repositorios federados antes de realizar estas actualizaciones. Para obtener más información sobre los repositorios federados y sus prestaciones, consulte el tema Repositorios federados. Para obtener más información sobre cómo migrar a los repositorios federados, consulte el tema Migración de un repositorio LDAP autónomo a una configuración de repositorio LDAP de repositorios federados.
Para utilizar LDAP como registro de usuario, debe conocer un nombre de usuario administrativo definido en el registro, el host y el puerto del servidor, el nombre distinguido (DN) básico y, si es necesario, el DN de enlace y la contraseña de enlace. Puede elegir cualquier usuario válido en el registro que se pueda buscar y tenga privilegios administrativos. En algunos servidores LDAP, los usuarios de administración no se pueden buscar y no se pueden utilizar, por ejemplo, cn=root en SecureWay. En la documentación, se hace referencia a este usuario como ID de servidor de seguridad WebSphere Application Server, ID de servidor o ID de usuario de servidor. Si un usuario es un ID de servidor, significa que tiene privilegios especiales cuando llame a algunos métodos internos protegidos. Por lo general, este ID y contraseña se utilizan para iniciar la sesión en la consola administrativa después de activar la seguridad. Puede utilizar otros usuarios para iniciar la sesión si dichos usuarios forman parte de los roles administrativos.
Cuando la seguridad está habilitada en el producto, el nombre de usuario y la contraseña administrativos primarios se autenticarán con el registro durante el inicio del producto. Si la autenticación falla, el servidor no se inicia. Es importante elegir un ID y una contraseña que no caduquen ni se modifiquen a menudo. Si es necesario cambiar el ID de usuario o la contraseña de servidor del producto en el registro, asegúrese de que los cambios se realizan cuando todos los servidores del producto estén en ejecución.
Cuando los cambios se han realizado en el registro, utilice los pasos que se describen en Configuración de los registros de usuario de LDAP (Lightweight Directory Access Protocol). Cambie el ID, la contraseña y otra información de configuración, guarde los cambios, y detenga y reinicie todos los servidores, para que el producto utilice el nuevo ID o la nueva contraseña. Si tiene algún problema al iniciar el producto con la seguridad habilitada, inhabilite la seguridad antes de iniciar el servidor. Para evitar estos problemas, asegúrese de que los cambios en este panel estén validados en el panel Seguridad Global. Una vez que el servidor esté en ejecución, podrá cambiar el ID, la contraseña u otra información de seguridad, y habilitar la seguridad.
Puede utilizar la característica LDAP (Lightweight Directory Access Protocol) personalizada para dar soporte a cualquier servidor LDAP, estableciendo la configuración correcta. No obstante, el soporte no se amplía a estos servidores LDAP personalizados, ya que hay muchas posibilidades de configuración.
El motor de autorizaciones configurado utiliza la información de correlación de usuarios y grupos con roles de seguridad para tomar decisiones de control de acceso.
![[z/OS]](../images/ngzos.gif)
- Autorización SAF (System Authorization Facility) utilizando perfiles EJBROLE o GEJBROLE. SAF altera temporalmente los otros mecanismos de autorización.
- Tivoli Access Manager como proveedor de JACC (Java™ Contract for Containers). Para obtener más información, consulte Integración de Tivoli Access Manager como proveedor de JACC.
- Enlaces de usuarios con roles, que crea el ensamblador de la aplicación o el administrador de seguridad de WebSphere Application Server.
![[z/OS]](../images/ngzos.gif)
- SAF altera temporalmente las otras opciones de autorización, por ejemplo, Tivoli Access Manager.
- Debe configurar e instalar un módulo de correlación de inicio de sesión JAAS (Java Authentication and Authorization Service) que correlacione una identidad de registro personalizado o LDAP con un ID de usuario SAF. Para obtener más información, consulte Instalación y configuración de un módulo de correlación de SAF (System Authorization Facility) personalizado para WebSphere Application Server..