Limitations des référentiels fédérés
Cette rubrique présente des informations importantes sur les limitations connues des référentiels fédérés et pour leur configuration.
Configuration des référentiels fédérés dans un environnement multiversion
- Vous ne pouvez configurer qu'un seul référentiel LDAP (Lightweight Directory Access Protocol) sous référentiels fédérés. Ce référentiel doit être pris en charge par la version 5.0.x ou 6.0.x.
- Vous devez spécifier un nom de domaine compatible avec les versions antérieures. Le nom d'hôte et le numéro de port représentent le domaine du serveur LDAP dans une cellule de noeuds de version mixte. Par exemple, machine1.austin.ibm.com:389.
- Vous devez configurer un registre LDAP autonome ; les informations contenues dans la configuration des référentiels fédérés dans le registre LDAP autonome et du référentiel LDAP doivent correspondre. Au cours de la synchronisation des noeuds, les informations du registre LDAP autonome sont propagées aux noeuds des versions 5.0.x ou 6.0.x. Important : Avant la synchronisation de noeuds, Vérifiez que les référentiels fédérés sont identifiés dans la zone de définition du domaine en cours. Si aucun référentiel fédéré n'est identifié, sélectionnez Référentiels fédérés dans la zone Définition du domaine disponible et cliquez sur Définir comme actuel. Ne définissez pas le registre LDAP autonome comme définition du domaine en cours.
- Vous ne pouvez pas configurer un référentiel de mappage d'entrées ou un référentiel d'extension de propriété dans une cellule du gestionnaire de déploiement en version mixte.
Configuration des serveurs LDAP dans un référentiel fédéré
La valeur par défaut de la connexion LDAP connectTimeout est 20 secondes. Le protocole LDAP doit répondre dans un délai de 20 secondes à toute requête provenant de WebSphere Application Server. Si vous ne pouvez pas vous connecter à votre LDAP dans ce délai, assurez-vous que votre LDAP est en cours d'exécution. Si le délai de connexion dépasse 20 secondes, une erreur de connexion s'affiche en haut du panneau de configuration du protocole LDAP.
Cohabitation avec Tivoli Access Manager
- Vous pouvez configurer un seul référentiel LDAP sous référentiels fédérés. Sa configuration doit correspondre à celle du serveur LDAP sous Tivoli Access Manager.
- Le nom distinctif de l'entrée de base de domaines doit correspondre à celui de l'entrée de base LDAP du référentiel. Dans WebSphere Application Server, Tivoli Access Manager reconnaît l'ID utilisateur et le nom distinctif LDAP à la fois pour l'authentification et l'autorisation. La configuration des référentiels fédérés n'inclut pas de mappages additionnels pour l'ID utilisateur et le nom distinctif LDAP.
- La fonctionnalité de référentiels fédérés ne reconnaît pas les métadonnées spécifiées par Tivoli Access Manager. Quand des utilisateurs et des groupes sont créés sous la gestion des utilisateurs et des groupes, ils ne sont pas formatés à l'aide des métadonnées de Tivoli Access Manager. Les utilisateurs et les groupes doivent être importés manuellement dans Tivoli Access Manager pour pouvoir être utilisés dans les procédures d'authentification et d'autorisation.
Limitation pour configurer les répertoires actifs avec leurs propres domaines de référentiel fédéré
Pour utiliser la console d'administration afin d'exécuter une recherche générique sur tous les utilisateurs disponibles dans deux annuaires Active Directory, et pour éviter les exceptions d'entrées multiples avec tous les ID intégrés, vous devez d'abord configurer chaque annuaire Active Directory avec son propre domaine de référentiel fédéré.
$AdminTask createIdMgrRealm {-name AD1realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD1realm -baseEntry o=AD1}
$AdminTask createIdMgrRealm {-name AD2realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD2realm -baseEntry o=AD2}
$AdminConfig save
Limitation de l'ID de référentiel dans une configuration de référentiels fédérés
Dans une configuration de référentiels fédérés, l'ID de référentiel ne doit pas comporter plus de 36 caractères. Dans le cas contraire, une erreur se produit lors de la récupération ou du stockage des données, notamment si le référentiel d'extension de propriété est configuré.
Serveur LDAP z/OS avec RACF non pris en charge
Les référentiels fédérés WebSphere Application Server NE PRENNENT PAS EN CHARGE un serveur LDAP z/OS LDAP avec un dorsal SDMB (Resource Access Control Facility (RACF)).