Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP
Des informations importantes sur les serveurs d'annuaire pris en charge, tels que les serveurs LDAP (Lightweight Directory Access Protocol) dans WebSphere Application Server sont fournies.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Il est probable que d'autres serveurs LDAP respectent la spécification LDAP. Mais le support est limité à ces serveurs d'annuaire spécifiques. Vous pouvez utiliser un autre serveur d'annuaire en sélectionnant le type Répertoire personnalisé dans la liste et en entrant les filtres requis pour ce répertoire.
Pour améliorer les performances des recherches LDAP, les filtres par défaut d'IBM® Tivoli Directory Server, de Sun ONE and d'Active Directory sont définis de sorte que lorsque vous recherchez un utilisateur, le résultat contienne toutes les informations appropriées sur l'utilisateur (ID utilisateur, groupes, etc.). Par conséquent, le produit n'appelle pas le serveur LDAP plusieurs fois. Cette définition est possible uniquement dans ces types d'annuaire qui prennent en charge les recherches dans lesquelles l'intégralité des informations relatives à un utilisateur sont obtenues.
Si vous utilisez IBM Directory Server, sélectionnez l'option Ignorer maj/min pour l'autorisation. Cette option est nécessaire car la casse des informations sur le groupe obtenues à partir des attributs d'objet de l'utilisateur est différente de celle des informations sur les groupes obtenue directement. Pour que l'autorisation fonctionne dans ce cas, vérifiez si l'utilisation des majuscules et des minuscules est respectée et vérifiez la valeur à affecter à l'option Ignorer maj/min pour l'autorisation.
LDAP Security Server pour la plateforme z/OS
est pris en charge lorsque le système dorsal TDBM (Technical Database Management)
DB2 est
utilisé. Utilisez les filtres de SecureWay Directory
Server pour effectuer la connexion à LDAP Security Server pour la plateforme z/OS.
Utilisation de Directory Services comme serveur LDAP
La prise en charge des groupes contenant d'autres groupes ou des groupes imbriqués dépend des versions spécifiques de WebSphere Application Server et LDAP. Pour plus d'informations, reportez-vous à la rubrique Prise en charge des groupes dynamiques et des groupes imbriqués pour LDAP.
- Utilisation d'IBM Tivoli Directory
Server comme serveur LDAP
Pour utiliser IBM Tivoli Directory Server, anciennement IBM Directory Server, sélectionnez IBM Tivoli Directory Server comme type d'annuaire.
Vous pouvez sélectionner le type d'annuaire IBM Tivoli Directory Server ou SecureWay pour IBM Directory Server.
La différence entre ces deux groupes réside dans la recherche d'appartenance à un groupe. Il est recommandé d'utiliser IBM Tivoli Directory Server pour des performances optimales lors de l'exécution. Dans IBM Tivoli Directory Server, l'appartenance à un groupe est un attribut opérationnel. Avec cet attribut, la consultation des appartenances à des groupes est effectuée en énumérant l'attribut ibm-allGroups de l'entrée. Toutes les appartenances à des groupes et notamment les groupes statiques, les groupes dynamiques et les groupes imbriqués, peuvent être renvoyées à l'aide de l'attribut ibm-allGroups.
WebSphere Application Server prend en charge les groupes dynamiques, les groupes imbriqués et les groupes statiques dans IBM Tivoli Directory Server à l'aide de l'attribut ibm-allGroups. Pour utiliser cet attribut dans une application prenant en charge les autorisations de sécurité, respectez la distinction minuscules/majuscules lors des recherches pour que les valeurs d'attribut renvoyées par ibm-allGroups soient toutes en majuscules.
Important : Il est recommandé de ne pas installer IBM Tivoli Directory Server version 6.0 sur la machine sur laquelle est installé Version 9.0. Vous ne pouvez pas utiliser Version 9.0 comme console d'administration pour IBM Tivoli Directory Server. Si IBM Tivoli Directory Server version 6.0 et Version 9.0 sont installés sur la même machine, des conflits de ports peuvent survenir.Si vous devez installer IBM Tivoli Directory Server version 6.0 et Version 9.0 sur la même machine, prenez en compte les éléments suivants :
- During the IBM Tivoli Directory Server installation process, you must select the Web Administration tool Version 5.1.1.
- Installez Version 9.0.
- Lorsque vous installez Version 9.0, modifiez le numéro de port pour le serveur d'applications.
- Il pourra être nécessaire d'ajuster les variables d'environnement WebSphere Application Server de la Version 9.0 for WAS_HOME et WAS_INSTALL_ROOT (ou APP_SERVER_ROOT pour IBM i). To change the variables using the administrative console, click Environment > WebSphere Variables.
- Utilisation d'un serveur Lotus Domino Enterprise
comme serveur LDAPSi vous sélectionnez le serveur Lotus Domino Enterprise, version 6.5.4 ou version 7.0, et que l'attribut shortname n'est pas défini dans le schéma, vous pouvez effectuer l'une des opérations suivantes :
- Modifiez le schéma afin d'ajouter l'attribut shortname.
- Modifiez le filtre de mappe d'ID utilisateur afin de remplacer le nom abrégé par n'importe quel autre attribut défini (UID de préférence). Par exemple, remplacez person:shortname par person:uid.
Le filtre de mappe des ID utilisateur a été modifié afin que l'attribut uid soit utilisé à la place de l'attribut shortname car la version actuelle de Lotus Domino ne crée pas par défaut l'attribut shortname. Si vous voulez utiliser l'attribut shortname, définissez-le dans le schéma et modifiez le filtre de mappe des ID utilisateur.Mappe des ID utilisateur : person:shortname
- Utilisation du serveur Sun ONE Directory Server comme serveur LDAPVous pouvez sélectionner Sun ONE Directory Server pour le système Sun ONE Directory Server. Lorsque vous créez un groupe dans Sun ONE Directory Server, la classe d'objet par défaut est groupOfUniqueName. Pour améliorer les performances, WebSphere Application Server utilise l'objet User pour rechercher l'appartenance à un groupe d'utilisateurs à partir de l'attribut nsRole. Créez le groupe à partir du rôle. Si vous voulez utiliser l'attribut groupOfUniqueName pour rechercher des groupes, indiquez votre propre paramètre de filtre. Les rôles unifient les entrées. Les rôles ont été conçus pour être plus efficaces et plus faciles d'utilisation pour les applications. Par exemple, une application peut rechercher le rôle d'une entrée en énumérant tous les rôles d'une entrée donnée, au lieu de sélectionner un groupe et d'effectuer une recherche dans la liste des membres. Lors de l'utilisation de rôles, vous pouvez créer un groupe à l'aide d'un :
- rôle géré,
- rôle filtré,
- rôle imbriqué.
- Utilisation du serveur Microsoft Active Directory comme serveur LDAP
Pour utiliser Microsoft Active Directory comme serveur LDAP pour l'authentification avec WebSphere Application Server, vous devez suivre une procédure spécifique. Par défaut, Microsoft Active Directory ne permet pas les requêtes LDAP anonymes. Pour créer des requêtes LDAP ou pour parcourir le répertoire, un client LDAP doit se lier au serveur LDAP à l'aide du nom distinctif (DN) d'un compte disposant du droit permettant de rechercher et le lire les valeurs des attributs LDAP, telles les informations de groupe et d'utilisateur requises par le serveur d'applications. La recherche d'appartenance à un groupe dans Active Directory s'effectue en énumérant l'attribut memberof d'une entrée utilisateur donnée et non en parcourant la liste des membres de chaque groupe. Si vous modifiez le comportement par défaut afin de parcourir chaque groupe, vous pouvez modifier la zone Mappe d'ID de membre de groupe de sorte qu'elle prenne la valeur group:member au lieu de memberof:member.
Les étapes suivantes décrivent comment configurer Microsoft Active Directory comme serveur LDAP.