Configuration des registres d'utilisateurs LDAP (Lightweight Directory Access Protocol)

Pour accéder à un registre d'utilisateurs via LDAP (Lightweight Directory Access Protocol), vous devez connaître un nom d'utilisateur valide (ID) et le mot de passe, l'hôte et le port du serveur de registres, le nom distinctif de base et, si nécessaire, le nom distinctif et le mot de passe de liaison. Il peut s'agir de n'importe quel utilisateur du registre d'utilisateurs. Pour vous connecter, vous pouvez utiliser n'importe quel ID utilisateur ayant un rôle d'administration.

Avant de commencer

Remarque : Cette rubrique fait référence à un ou plusieurs des fichiers journaux de serveur d'applications. Il est recommandé de configurer le serveur de telle sorte qu'il utilise l'infrastructure de journalisation et de trace HPEL (High Performance Extensible Logging) à la place des fichiers SystemOut.log, SystemErr.log, trace.log et activity.log sur les systèmes distribués et IBM® i. Vous pouvez également utiliser HPEL conjointement avec vos fonctions de journalisation z/OS natives. Si vous utilisez l'infrastructure HPEL, vous pouvez accéder à toutes les informations de journalisation et de trace en utilisant l'outil de ligne de commande LogViewer à partir de votre répertoire bin de profil de serveur. Pour plus d'informations sur l'utilisation de HPEL, voir les informations sur l'utilisation de HPEL en vue du traitement des incidents liés aux applications.

Deux identités différentes sont utilisées à des fins de sécurité : l'ID utilisateur des fonctions d'administration et l'identité du serveur. Lorsque la sécurité administrative est activée, l'ID utilisateur et le mot de passe des fonctions d'administration sont authentifiés avec le registre. Si l'authentification échoue, l'accès à la console d'administration n'est pas autorisé ou les tâches avec les scripts wsadmin ne sont pas exécutées. Il est important de choisir un ID et un mot de passe qui n'arrivent pas à expiration ou qui ne sont pas changés trop souvent. Si l'ID utilisateur et le mot de passe du serveur doivent être redéfinis dans le registre, veillez à effectuer ces modifications lorsque tous les serveurs du produit sont en cours d'exécution. Lorsque des modifications doivent être effectuées dans le registre, consultez l'article relatif à Registres LDAP (Lightweight Directory Access Protocol) autonomes (LDAP) avant d'exécuter cette tâche.

L'identité du serveur est utilisée pour les communication des processus internes. Dans le cadre de cette tâche, vous pouvez remplacer l'identité par défaut du serveur, générée automatiquement par un ID et un mot de passe de serveur dans le référentiel LDAP.

Procédure

  1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
  3. Entrez un nom d'utilisateur valide dans la zone Nom de l'utilisateur administratif primaire. Généralement, le nom d'utilisateur est le nom abrégé de l'utilisateur et il est défini par le filtre d'utilisateur dans le panneau des paramètres LDAP avancés.
  4. Déterminez si vous devez définir l'identité de l'utilisateur utilisée pour les communications des processus internes. Les cellules qui contiennent des noeuds 5.1.x ou 6.x exigent qu'une identité de serveur soit définie dans le référentiel d'utilisateurs actif. Par défaut, l'option Identité de serveur générée automatiquement est activée et le serveur d'applications génère l'identité du serveur. Toutefois, vous pouvez sélectionner l'option Identité de serveur stockée dans un référentiel pour définir l'identité du serveur et son mot de passe.
  5. Sélectionnez le type de serveur LDAP à utiliser dans la liste Type. Le type de serveur LDAP détermine les filtres par défaut appliqués par WebSphere Application Server. Ces filtres par défaut attribuent à la zone Type la valeur Personnalisé pour indiquer que des filtres personnalisés sont utilisés. Cette action se produit lorsque vous cliquez sur OK ou sur Valider dans le panneau Paramètres avancés LDAP. Sélectionnez le type Personnalisé dans la liste et modifiez les filtres d'utilisateurs et de groupes pour utiliser d'autres serveurs LDAP, si nécessaire.

    Les utilisateurs d'IBM Tivoli Directory Server peuvent sélectionner IBM Tivoli Directory Server comme type de répertoire. Le type de répertoire IBM Tivoli Directory Server permet de meilleures performances.

    Avertissement : IBM SecureWay Directory Server a été renommé IBM Tivoli Directory Server dans WebSphere Application Server version 6.1.
  6. Tapez le nom d'hôte complet du serveur LDAP dans la zone Hôte. Vous pouvez entrer l'adresse IP ou le nom DNS (système de nom de domaine).
  7. Entrez le numéro de port du serveur LDAP dans la zone Port. Le nom d'hôte et le numéro de port représentent le domaine du serveur LDAP dans la cellule WebSphere Application Server. Si des serveurs associés à des cellules différentes communiquent entre eux à l'aide de jetons LTPA (Lightweight Third Party Authentication), ces domaines doivent être parfaitement identiques dans toutes les cellules.

    La valeur par défaut est 389. Si plusieurs serveurs de WebSphere Application Server sont installés et configurés afin d'être exécutés dans le même domaine SSO ou si WebSphere Application Server interagit avec une version précédente de WebSphere Application Server, il est alors important que le numéro de port corresponde à toutes les configurations. Par exemple, si le port LDAP est associé explicitement à la valeur 389 dans une configuration de version 5.x et qu'un serveur WebSphere Application Server, version 6.0.x, doit interagir avec le serveur version 5.x, vérifiez que le port 389 est indiqué explicitement pour le serveur de la version 6.0.x.

    Vous pouvez définir la propriété personnalisée com.ibm.websphere.security.ldap.logicRealm pour changer le nom de domaine placé dans le jeton. Pour plus d'informations, reportez-vous à la rubrique Propriétés personnalisées de sécurité.

  8. Entrez le nom distinctif (DN) de base dans la zone Nom distinctif de base. Il représente le point de départ des recherches effectuées sur ce serveur d'annuaires LDAP. Par exemple, pour un utilisateur dont le nom distinctif est cn=John Doe, ou=Rochester, o=IBM, c=US, indiquez le nom distinctif de base sous la forme de l'une des options suivantes (en supposant que le suffixe est c=us) :
    • ou=Rochester, o=IBM, c=us
    • o=IBM, c=us
    • c=us
    Dans le cadre des autorisations, les majuscules et les minuscules sont prises en compte par défaut dans cette zone. Respectez la distinction entre les majuscules et les minuscules sur le serveur d'annuaire. En cas de réception d'un jeton (d'une autre cellule ou de Lotus Domino, par exemple), le nom distinctif de base sur le serveur doit correspondre exactement au nom distinctif de base de l'autre cellule ou de Domino. Si vous ne voulez pas prendre en compte les majuscules et les minuscules pour l'autorisation, activez l'option Ignorer maj/min pour l'autorisation.

    Dans WebSphere Application Server, le nom distinctif est normalisé conformément à la spécification LDAP (Lightweight Directory Access Protocol). Elle consiste à supprimer les espaces figurant dans le nom distinctif de base avant ou après les virgules et le signe "égal". Un exemple de nom spécifique de base non normalisé pourrait être o = ibm, c = us ou o=ibm, c=us. Un exemple de nom distinctif de base normalisé pourrait être o=ibm,c=us.

    Pour permettre l'interopérabilité entre la version 6.0 de WebSphere Application Server et des versions ultérieures, vous devez entrer un nom distinctif de base normalisé dans la zone Nom distinctif de base. Dans WebSphere Application Server, version 6.0 ou supérieure, la normalisation se produit automatiquement lors de la phase d'exécution.

    Cette zone est obligatoire pour tous les annuaires LDAP excepté Lotus Domino Directory. La zone Nom distinctif de base est facultative pour le serveur Domino.

  9. Facultatif : Entrez le nom distinctif de liaison dans la zone Nom distinctif de liaison. Ce nom est obligatoire si les liaisons anonymes ne sont pas possibles sur le serveur LDAP pour obtenir des informations sur les utilisateurs et les groupes. Si le serveur LDAP est configuré pour utiliser des liaisons anonymes, n'indiquez rien dans cette zone. Si aucun nom n'est spécifié ici, la liaison sera anonyme. Pour des exemples de noms distinctifs, reportez-vous à la description de la zone Nom distinctif de base.
  10. Facultatif : Entrez le mot de passe correspondant au nom distinctif de liaison dans la zone Mot de passe de liaison.
  11. Facultatif : Modifiez la valeur d'expiration de la recherche. Cette valeur correspond au délai d'attente maximal observé par le serveur LDAP pour envoyer une réponse au client avant d'arrêter la demande. La valeur par défaut est de 120 secondes.
  12. Vérifiez que l'option Réutiliser la connexion est sélectionnée. Cette option indique que le serveur doit réutiliser la connexion LDAP. Désélectionnez cette case à cocher uniquement dans les rares cas où un routeur est utilisé pour envoyer les demandes à plusieurs serveurs LDAP et qu'il ne prend pas en charge l'affinité. Laissez cette option sélectionnée dans les autres cas.
  13. Facultatif : Vérifiez que l'option Ignorer maj/min pour l'autorisation est activée. Lorsque vous activez cette option, la vérification des autorisations ne fait pas de distinction entre les majuscules et les minuscules. En règle générale, la vérification des autorisations comprend la vérification de nom distinctif complet d'un utilisateur (unique sur le serveur LDAP). Elle ne fait pas de distinction entre les majuscules et les minuscules. Toutefois, lorsque vous utilisez des serveurs LDAP IBM Directory Server ou Sun ONE (antérieurement iPlanet) Directory Server, vous devez la sélectionner car l'utilisation des minuscules et des majuscules n'est pas identique dans les informations de groupe reçues des serveurs LDAP. Cette incohérence affecte uniquement la vérification des autorisations. Dans les autres cas, cette zone est facultative et peut être activée lorsqu'une vérification des droits avec respect des majuscules et des minuscules est requise. Par exemple, vous pouvez sélectionner cette option lorsque vous utilisez des certificats et que leur contenu ne correspond pas exactement à l'entrée du serveur LDAP au niveau des minuscules et des majuscules.

    Vous pouvez également sélectionner l'option Ignorer la casse pour l'autorisation lorsque vous utilisez la connexion unique (SSO) entre le produit et Lotus Domino. La valeur par défaut est l'option activée.

  14. Facultatif : Sélectionnez SSL activé si vous souhaitez utiliser des communications SSL (Secure Sockets Layer) avec le serveur LDAP.
    Important : Vous pourrez effectuer cette étape avec succès sous réserve que le certificat de signataire pour le serveur LDAP soit tout d'abord ajouté au fichier de clés certifiées qui sera éventuellement utilisé. Si le certificat de signataire du serveur LDAP n'est pas ajouté au fichier de clés certifiées, alors
    • Un message d'erreur sera envoyé par la console d'administration.
    • Le gestionnaire de déploiement (DMGR) systemout.log affichera le message CWPKI0022E: SSL HANDSHAKE FAILURE pour indiquer que le certificat de signataire doit être ajouté au fichier de clés certifiées.

    Pour que cette étape ne génère pas d'erreurs, vous devez extraire le certificat de signataire du serveur LDAP dans un fichier et envoyer le fichier à la machine WebSphere Application Server. Vous pouvez ensuite ajouter le certificat au fichier de clés certifiées défini pour le serveur LDAP. De cette manière, vous êtes assuré que les actions restant à effectuer pour cette étape se réaliseront avec succès.

    Si vous sélectionnez l'option SSL activé, vous pouvez choisir l'option Géré de façon centrale ou Utiliser un alias SSL spécifique.
    Géré de façon centrale
    Permet de définir une configuration SSL pour une portée donnée telle que la cellule, le noeud, le serveur ou le cluster à un emplacement. Pour utiliser l'option Géré de façon centrale, définissez la configuration SSL pour l'ensemble de noeuds donné. Le panneau Gérer les configurations de sécurité du noeud final et les zones sécurisées affiche tous les noeuds entrants et sortants qui utilisent le protocole SSL. Si vous développez la section Communication entrante ou Communication sortante du panneau et que vous cliquez sur le nom du noeud, vous pouvez définir une configuration SSL utilisée pour chaque noeud final du noeud. Dans le cas d'un registre LDAP, vous pouvez remplacer la configuration SSL héritée en définissant une configuration SSL pour LDAP. Pour définir une configuration SSL pour LDAP, procédez comme suit :
    1. Cliquez sur Sécurité > Gestion des certificats SSL et des clés > Gérer les configurations de sécurité du noeud final et les zones sécurisées.
    2. Développez Communication sortante > nom_cellule > Noeuds > nom_noeud > Serveurs > nom_serveur > LDAP.
    Utiliser un alias SSL spécifique
    Sélectionnez l'option Utiliser un alias SSL spécifique pour choisir l'une des configurations SSL dans le menu.
    Cette configuration est utilisée uniquement lorsque SSL est activé pour LDAP. La valeur par défaut est Paramètres SSL par défaut. Vous pouvez cliquer sur le nom d'une configuration existante pour la modifier ou effectuer les étapes suivantes pour créer une configuration SSL :
    1. Cliquez sur Sécurité > Gestion des certificats SSL de des clés.
    2. Dans le menu Paramètres de configuration, cliquez sur Gérer les configurations de sécurité du point de contact.
    3. Sélectionnez un nom_de_configuration SSL pour les portées sélectionnées, comme une cellule, un noeud, un serveur ou un cluster.
    4. Sous Articles liés, cliquez sur Configurations SSL.
    5. Cliquez sur Nouveau.
  15. Cliquez sur OK ou Appliquer jusqu'à ce que le panneau Sécurité globale soit de nouveau affiché, puis sur la page Sécurité globale, cliquez sur Enregistrer pour vous assurer que la configuration LDAP est enregistrée.
  16. Vérifiez si l'option Définitions de domaines disponibles a pour valeur Registre LDAP autonome. Si tel n'est pas le cas, sélectionnez-la dans le menu déroulant, sélectionnez Définir comme actif et appuyez sur Appliquer.

Résultats

Ces étapes sont requises pour configurer le registre d'utilisateurs LDAP. Cette étape s'inscrit dans le processus d'activation de la sécurité dans WebSphere Application Server.

Que faire ensuite

  1. Si vous activez la sécurité, suivez les étapes décrites dans Activation de la sécurité pour le domaine.
  2. [z/OS]Si vous souhaitez utiliser l'autorisation SAF (System Authorization Facility) avec votre registre LDAP, consultez la rubrique relative à Remarque SAF (System Authorization Facility) pour le système d'exploitation et les niveaux d'application, pour plus informations.
  3. Pour que les modifications apportées dans ce panneau soient appliquées, sauvegardez les données et arrêtez puis redémarrez tous les serveurs du produit (gestionnaires de déploiement, noeuds et serveurs d'applications). Si le serveur démarre sans problème, la configuration est correcte.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldap
Nom du fichier : tsec_ldap.html