Utilización de servidores de directorios específicos como servidor LDAP

Se proporciona información importante sobre los servidores de directorios a los que se da soporte como servidores LDAP (Lightweight Directory Access Protocol en WebSphere Application Server.

Antes de empezar

Los bosques de Microsoft Active Directory no están soportados con el registro LDAP autónomo. El registro de repositorio federado, cuando se configura para utilizar un Active Directory LDAP no da soporte al uso de bosques.

Acerca de esta tarea

Es de esperar que otros servidores LDAP sigan la especificación LDAP. El soporte está limitado sólo a estos servidores de directorios específicos. Para utilizar cualquiera de los demás servidores de directorios, utilice el tipo de directorio personalizado de la lista y rellene los filtros necesarios para dicho directorio.

Para mejorar el rendimiento de las búsquedas LDAP, los filtros por omisión para IBM® Tivoli Directory Server, Sun ONE y Active Directory están definidos de tal modo que cuando busque un usuario, el resultado constará de toda la información relevante del usuario (ID de usuario, grupos, etc.). Como resultado, el producto no llama al servidor LDAP varias veces. Esta definición sólo es posible en estos tipos de directorio, que dan soporte a las búsquedas en las que se puede obtener toda la información de un usuario.

Si utiliza IBM Directory Server, seleccione la opción Ignorar mayúsculas/minúsculas para autorización. Esta opción es necesaria ya que, cuando se obtiene la información de grupo a partir de los atributos de objeto de usuario, la distinción entre mayúsculas y minúsculas no es la misma que cuando se obtiene la información de grupo directamente. Para que la autorización se realice correctamente en este caso, realice un comprobación sin tener en cuenta las mayúsculas y minúsculas y verifique los requisitos para la opción Ignorar mayúsculas para autorización.

[z/OS]El servidor de seguridad LDAP para la plataforma z/OS está soportado cuando se utiliza el programa de fondo TDBM (Technical Database Management) de DB2. Utilice los filtros de SecureWay Directory Server para conectar con el servidor de seguridad LDAP para la plataforma z/OS.

  • [IBM i]Utilización de los servicios de directorios como servidor LDAP

    El soporte para los grupos que contienen otros grupos o grupos anidados depende de las versiones específicas de WebSphere Application Server y LDAP. Para obtener más información, consulte Soporte de grupos dinámicos y anidados para LDAP.

  • Utilización de IBM Tivoli Directory Server como servidor LDAP

    [AIX Solaris HP-UX Linux Windows][IBM i] Para utilizar IBM Tivoli Directory Server, anteriormente conocido como IBM Directory Server, seleccione IBM Tivoli Directory Server como tipo de directorio.

    [z/OS]Puede seleccionar el tipo de directorio IBM Tivoli Directory Server o SecureWay para IBM Directory Server.

    Estos dos tipos se diferencian en la búsqueda de miembros de grupo. Es recomendable que elija IBM Tivoli Directory Server para obtener un rendimiento óptimo durante el tiempo de ejecución. En IBM Tivoli Directory Server, la pertenencia a un grupo es un atributo operativo. Para realizar la búsqueda de miembros de grupo con este atributo, enumere el atributo ibm-allGroups para la entrada. Todos los miembros del grupo, incluidos los grupos estáticos, grupos dinámicos y grupos anidados, pueden devolverse con el atributo ibm-allGroups.

    WebSphere Application Server da soporte a grupos dinámicos, grupos anidados y grupos estáticos de IBM Tivoli Directory Server mediante el atributo ibm-allGroups. Para utilizar este atributo en una aplicación de autorización de seguridad, hágalo mediante coincidencias que ignoren las mayúsculas y minúsculas, de modo que el atributo ibm-allGroups devuelva todos los valores de atributo en mayúsculas.

    Importante: Se recomienda que no instale IBM Tivoli Directory Server Versión 6.0 en la misma máquina en la que ha instalado la Versión 9.0. No puede utilizar Versión 9.0 como la consola de administración para IBM Tivoli Directory Server. Si IBM Tivoli Directory Server Versión 6.0 y Versión 9.0 se instalan en la misma máquina, es posible que se produzcan conflictos de puertos.

    Si debe instalar IBM Tivoli Directory Server Versión 6.0 y Versión 9.0 en la misma máquina, tenga en cuenta la siguiente información:

    • Durante el proceso de instalación de IBM Tivoli Directory Server, debe seleccionar la herramienta de administración Web Versión 5.1.1.
    • Instale Versión 9.0.
    • Cuando instale Versión 9.0, cambie el número de puerto del servidor de aplicaciones.
    • Es posible que necesite ajustar las variables de entorno de WebSphere Application Server en Versión 9.0 para WAS_HOME y WAS_INSTALL_ROOT (o APP_SERVER_ROOT para IBM i). Para cambiar las variables utilizando la consola administrativa, pulse Entorno > Variables de WebSphere.
  • Utilización de Lotus Domino Enterprise Server como servidor LDAP
    Si selecciona Lotus Domino Enterprise Server Versión 6.5.4 o Versión 7.0 y el atributo shortname no está definido en el esquema, puede realizar cualquiera de las acciones siguientes:
    • Cambie el esquema para añadir atributo shortname.
    • Modificar el filtro de correlación de ID de usuarios de modo que sustituya el atributo shortname por cualquier otro atributo (preferiblemente uid). Por ejemplo, cambie person:shortname por person:uid.
    El filtro de correlación de ID de usuario ha cambiado para utilizar el atributo uid en lugar de shortname, dado que la versión actual de Lotus Domino no crea el atributo shortname por omisión. Si desea utilizar el atributo shortname, defínalo en el esquema y cambie el filtro de correlación de ID de usuario.

    Correlación de ID de usuario : person:shortname

  • Utilización de Sun ONE Directory Server como servidor LDAP
    Puede seleccionar Sun ONE Directory Server para el sistema Sun ONE Directory Server. En Sun ONE Directory Server, la clase de objeto es el atributo por omisión groupOfUniqueName cuando se crean grupos. Para obtener un mejor rendimiento, WebSphere Application Server utiliza el objeto User para localizar los miembros del grupo de usuarios del atributo nsRole. Cree el grupo a partir de rol. Si desea utilizar el atributo groupOfUniqueName para buscar grupos, especifique su propio valor de filtro. Los roles unifican las entradas. Los roles están diseñados para que sean más eficaces y fáciles de utilizar por las aplicaciones. Por ejemplo, una aplicación puede localizar el rol de una entrada mediante la enumeración de todos los roles de una determinada entrada, en lugar de seleccionar un grupo y examinar toda la lista de miembros. Al utilizar roles, puede crear un grupo utilizando un:
    • Rol gestionado
    • Rol filtrado
    • Rol anidado
    Todos estos roles son computable por el atributo nsRole.
  • Utilización de Microsoft Active Directory Server como servidor LDAP

    Para utilizar Microsoft Active Directory como servidor LDAP para la autenticación con WebSphere Application Server, debe seguir algunos pasos específicos. De manera predeterminada, Microsoft Active Directory no permite consultas LDAP anónimas. Para crear consultas LDAP o para examinar el directorio, se debe enlazar un cliente LDAP al servidor LDAP utilizando el nombre distinguido (DN) de una cuenta que tenga autorización para buscar y leer los valores de los atributos LDAP, por ejemplo la información de usuarios y grupos, necesaria para Application Server. Para realizar la búsqueda de miembros de grupo en Active Directory, enumere el atributo memberof de una determinada entrada de usuario, en lugar de examinar toda la lista de miembros de cada grupo. Si modifica el comportamiento por omisión de modo que se examine cada grupo, puede cambiar el campo Correlación de ID de miembros de grupo de memberof:member a group:member.

En los pasos siguientes se describe cómo configurar Microsoft Active Directory como servidor LDAP.

Procedimiento

  1. Determine el nombre distinguido completo (DN) y la contraseña de una cuenta en el grupo de administradores.
    [AIX Solaris HP-UX Linux Windows][IBM i]Por ejemplo, si el administrador de Active Directory crea una cuenta en la carpeta Usuarios del panel de control de Usuarios y sistemas de Active Directory de Windows y el dominio DNS es ibm.com, el DN resultante tendrá la siguiente estructura:
    cn=<nombreUsuarioadmin>, cn=users, dc=ibm,
    dc=com 
  2. Determine el nombre abreviado y la contraseña de una cuenta en Microsoft Active Directory.
  3. Utilice la consola administrativa de WebSphere Application Server para configurar la información necesaria para utilizar Microsoft Active Directory.
    1. Pulse Seguridad > Seguridad global.
    2. En Depósito de cuentas de usuario, seleccione Registro LDAP autónomo y pulse Configurar.
    3. Configure LDAP con Active Directory como el tipo de servidor LDAP. Según la información determinada en los pasos anteriores, puede especificar los valores siguientes en el panel Valores de LDAP:
      Nombre de usuario administrativo primario
      Especifique el nombre de un usuario con privilegios administrativos que se define en el registro. Este nombre de usuario se utiliza para acceder a la consola administrativa o lo utiliza wsadmin.
      Tipo
      Especifique Active Directory.
      Host
      Especifique el nombre DNS (servicio de nombres de dominio) de la máquina que ejecuta Microsoft Active Directory.
      Nombre distinguido (DN) básico
      Especifique los componentes de dominio del DN de la cuenta que se ha elegido en el primer paso. Por ejemplo: dc=ibm, dc=com
      Nombre distinguido (DN) de enlace
      Especifique el nombre distinguido completo de la cuenta que se ha elegido en el primer paso. Por ejemplo: cn=nombreUsuarioadmin, cn=users, dc=ibm, dc=com
      Contraseña de enlace
      Especifique la contraseña de la cuenta que se ha elegido en el primer paso.
    4. Pulse Aceptar y Guardar para guardar los cambios en la configuración maestra.
  4. Pulse Seguridad > Seguridad global.
  5. En Repositorio de cuentas de usuario,pulse la lista desplegable Definiciones de reino disponibles, seleccione Registro LDAP autónomo y pulse Configurar.
  6. Seleccione la opción Identidad de servidor generada automáticamente o Identidad de servidor que se almacena en el repositorio. Si selecciona la opción Identidad de servidor que se almacena en el repositorio, especifique la siguiente información:
    ID de usuario o usuario administrativo del servidor en un nodo de la Versión 6.0.x
    Especifique el nombre abreviado de la cuenta que se ha elegido en el segundo paso.
    Contraseña de usuario de servidor
    Especifique la contraseña de la cuenta que se ha elegido en el segundo paso.
  7. Opcional: Establezca ObjectCategory como el filtro en el campo Correlación de ID de miembro de grupo para aumentar el rendimiento de LDAP.
    1. Bajo Propiedades adicionales, pulse Valores del registro de usuario LDAP (Advanced Lightweight Directory Access Protocol).
    2. Añada ;objectCategory:group al final del campo Correlación de ID de miembro de grupo.
  8. Pulse Aceptar y Guardar para guardar los cambios en la configuración maestra.
  9. Detenga y reinicie el servidor de administración, de modo que los cambios entren en vigor.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tmsad
File name: tsec_tmsad.html