Cette rubrique permet de configurer les filtres de recherche LDAP. Ces étapes sont obligatoires pour modifier les filtres d'utilisateurs et de groupes existants pour un type d'annuaire LDAP donné. Vous pouvez également les utiliser pour
configurer des filtres de certificats et mapper des certificats à des entrées sur le
serveur LDAP
Avant de commencer
WebSphere Application Server utilise les filtres LDAP (Lightweight Directory
Access Protocol) pour rechercher et extraire des informations relatives aux utilisateurs
et aux groupes à partir d'un serveur d'annuaire LDAP. Une série de filtres est fournie
par défaut pour chaque serveur LDAP pris en charge par le logiciel. Vous pouvez modifier ces filtres en
fonction de votre configuration LDAP. Une fois que les filtres ont été modifiés et que
vous cliquez sur OK ou Valider, le type d'annuaire du panneau
Registre LDAP autonome prend la valeur personnalisé pour indiquer que des filtres
personnalisés sont utilisés. Vous pouvez développer des filtres pour prendre en charge d'autres
types de serveur LDAP. Vous n'êtes pas obligé de prendre en charge d'autres types
d'annuaire LDAP. Effectuez cette procédure dans la console d'administration.
Procédure
- Cliquez surSécurité > Sécurité globale.
- Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
- Dans le menu Propriétés supplémentaires, cliquez sur Paramètres avancés de registres d'utilisateurs LDAP (Lightweight Directory Access
Protocol).
- Si nécessaire, modifiez le filtre Utilisateur. Ce filtre permet de
rechercher des utilisateurs dans le registre ; il est généralement utilisé pour
l'affectation de rôles de sécurité aux utilisateurs. Il permet également d'authentifier
un utilisateur à l'aide de l'attribut figurant dans le filtre. Le filtre indique la propriété utilisée pour rechercher des utilisateurs dans le service d'annuaire.
Dans l'exemple suivant, la propriété affectée à %v (nom abrégé de l'utilisateur) doit correspondre à une clé unique. Deux entrées LDAP possédant la même classe d'objet ne peuvent pas porter le même nom
abrégé. Pour rechercher des utilisateurs en fonction de leur ID utilisateur (uid) et pour
utiliser la classe d'objet inetOrgPerson, spécifiez la ligne suivante :
(&(uid=%v)(objectclass=inetOrgPerson)
Pour plus d'informations sur cette syntaxe, voir la documentation Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP.
- Si nécessaire, modifiez le filtre utilisateur Kerberos. Le nom du filtre utilisateur Kerberos est utilisé pour rechercher le nom de principal Kerberos dans le registre. Spécifiez l'attribut LDAP qui contient le nom de principal Kerberos.
- Filtre krbuser par défaut d'IBM Lotus Domino :
- (&(krbPrincipalName=%v)(objectcategory=Person))
- Filtre krbuser par défaut d'IBM SecureWay Directory Server :
- (&(krbPrincipalName=%v)(objectcategory=ePerson))
- Filtre krbuser par défaut de Microsoft Active Directory :
- (&(userprincipalname=%v)(objectcategory=user))
- Filtre krbuser par défaut de Sun Java System Directory Server :
- (&(krbPrincipalName=%v)(objectcategory=inetOrgPerson))
- Filtre krbuser par défaut de Novell eDirectory :
- (&(krbPrincipalName=%v)(objectcategory=Person))
- Facultatif : Si vous utilisez des référentiels fédérés, modifiez le nom de l'attribut Kerberos, si nécessaire. Le nom de l'attribut Kerberos permet de recherche le principal Kerberos dans le registre.
Spécifiez l'attribut LDAP qui contient le nom de principal Kerberos.
- Filtre krbuser par défaut d'IBM Lotus Domino :
- krbPrincipalName
- Filtre krbuser par défaut d'IBM SecureWay Directory Server :
- krbPrincipalName
- Filtre krbuser par défaut de Microsoft Active Directory :
- userprincipalname
- Filtre krbuser par défaut de Sun Java System Directory Server :
- krbPrincipalName
- Filtre krbuser par défaut de Novell eDirectory :
- krbPrincipalName
- Si nécessaire, modifiez le filtre Groupe. Ce filtre permet de
rechercher des groupes dans le registre ; il est généralement utilisé pour l'affectation
de rôles de sécurité au groupe. Il précise également sur quelle propriété doit
porter la recherche des groupes dans le service d'annuaire.
Dans l'exemple suivant, la propriété affectée à %v (nom abrégé du groupe) doit correspondre à une clé unique. Deux entrées LDAP possédant la même classe d'objet ne peuvent pas porter le même nom
abrégé. Pour rechercher des groupes en fonction de leur nom commun (CN) et pour
utiliser la classe d'objet groupOfNames ou groupOfUniqueNames, spécifiez la ligne
suivante :
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Pour plus d'informations sur cette syntaxe, voir la documentation Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP.
- Modifiez la mappe de l'ID utilisateur, si nécessaire. Ce filtre
mappe le nom abrégé d'un utilisateur vers une entrée LDAP et spécifie les informations
représentant les utilisateurs lorsque ceux-ci sont affichés avec leur nom abrégé. Par exemple, pour afficher les entrées object class = inetOrgPerson par
ID, indiquez inetOrgPerson:uid.
Cette zone accepte plusieurs paires
objectclass:property, séparées par des points-virgules (;). Le nom abrégé obtenu à l'aide
de ce filtre est utilisé pour fournir une valeur cohérente aux méthodes, telles que la
méthode getCallerPrincipal( ) ou getUserPrincipal(). Par exemple,
l'utilisateur CN=Bob Smith, ou=austin.ibm.com, o=IBM, c=US
peut se connecter à l'aide de n'importe quels attributs définis, par
exemple, une adresse électronique, un numéro de sécurité sociale,
etc., mais lorsque ces méthodes sont appelées, l'ID utilisateur
bob est renvoyé quel que soit le mode de connexion de
l'utilisateur.
Remarque : Seule l'API getUserDisplayName API respecte la mappe d'ID utilisateur.
- Modifiez le filtre Mappe des ID groupe, si nécessaire. Ce filtre
mappe le nom abrégé d'un groupe vers une entrée LDAP et spécifie les informations
représentant les groupes lorsque ceux-ci sont affichés.
Par exemple, pour afficher les groupes par leur nom, indiquez *:cn.
L'astérisque (*) est un caractère générique qui permet de faire porter la recherche sur n'importe quelle classe d'objet. Cette zone accepte plusieurs paires objectclass:property, séparées par des
points-virgules (;).
- Modifiez le filtre Mappe d'ID membre de groupe, si nécessaire. Ce filtre
identifie l'appartenance des utilisateurs aux groupes. Pour les types d'annuaire SecureWay et Domino, cette zone permet d'interroger tous les groupes correspondant aux classes
d'objets indiquées pour déterminer si l'utilisateur figure dans l'attribut indiqué.
Par
exemple, pour extraire tous les utilisateurs appartenant aux groupes dont la classe
d'objets est groupOfNames et les utilisateurs figurant dans les attributs du membre,
indiquez groupOfNames:member. Cette commande indique quelle propriété d'une
classe d'objets détient la liste des membres appartenant au groupe représenté par cette
classe. Cette zone accepte plusieurs paires objectclass:property séparées par des points-virgules
(;).
Pour plus d'informations sur cette syntaxe, voir Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP.
Pour IBM® Tivoli Directory Server, Sun ONE et Active Directory, cette zone est utilisée afin
d'interroger tous les utilisateurs d'un groupe à l'aide des informations stockées dans
l'objet utilisateur. Par exemple, le filtre memberof:member (pour Active Directory)
permet d'extraire l'attribut memberof de l'objet de l'utilisateur afin d'obtenir tous les
groupes auxquels l'utilisateur appartient. L'attribut member permet d'extraire tous les utilisateurs d'un groupe qui utilise l'objet
Groupe. Cette procédure augmente les performances.
- Sélectionnez l'option Effectuer une recherche de groupes imbriqués si le serveur LDAP ne prend pas en charge les recherches en mode récursif côté serveur.
- Modifiez le mode Mode de mappage des certificats, si nécessaire. Vous pouvez utiliser les certificats X.590 pour l'authentification des utilisateurs lorsque le registre LDAP est sélectionné. Cette zone permet d'indiquer si les certificats
X.509 doivent être mappés à un utilisateur de l'annuaire LDAP
à l'aide de EXACT_DN ou CERTIFICATE_FILTER.
Si vous sélectionnez EXACT_DN, le nom distinctif (DN) du certificat doit
correspondre exactement à l'entrée de l'utilisateur sur le serveur LDAP, y compris les
majuscules/minuscules et les espaces.
Sélectionnez l'option
Ignorer maj/min pour l'autorisation dans les paramètres du registre LDAP autonome pour ne plus établir de distinction entre les majuscules et les minuscules.
Pour accéder au panneau des paramètres du registre LDAP autonome, procédez comme suit :
- Cliquez surSécurité > Sécurité globale.
- Sous Référentiel du compte d'utilisateur, cliquez sur la liste déroulante Définitions des domaines disponibles, sélectionnez Registre LDAP autonome.
- Si vous sélectionnez CERTIFICATE_FILTER, indiquez le filtre LDAP à utiliser pour mapper les attributs du certificat client aux entrées dans LDAP. Si plusieurs entrées LDAP correspondent à la
spécification du filtre au cours de l'exécution, l'authentification échoue car la
correspondance est alors considérée comme ambiguë. La syntaxe ou structure de ce
filtre est la suivante : LDAP attribute=${attribut de
certificat client} (par exemple, uid=${SubjectCN}).
Un côté de la spécification du filtre est un attribut LDAP qui dépend du schéma que votre serveur LDAP est configuré pour utiliser. L'autre côté de la spécification du filtre est l'un des attributs publics de votre certificat client. Notez que la spécification de filtre correspondant à l'un des attributs publics dans votre certificat client doit commencer par le signe dollar ($), une accolade ouvrante ({), et se terminer par une accolade fermante (}). Utilisez les valeurs d'attribut de certificat suivantes sur le côté de la spécification du filtre correspondant à l'un des attributs publics dans votre certificat client. Vous devez respecter la distinction
entre les majuscules et les minuscules.
- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
où <xx> est remplacé par
les caractères représentant un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de
l'émetteur (Issuer Common Name).
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
où <xx> est remplacé par
les caractères représentant un composant valide du nom distinctif du sujet. Par exemple, vous devez utiliser ${SubjectCN} pour le nom commun du
sujet (Subject Common Name).
- ${Version}
Pour activer cette zone, sélectionnez
CERTIFICATE_FILTER pour le mappage des certificats.
Eviter les incidents: Les noms alternatifs de sujet (SAN) ne sont pas pris en charge comme éléments de filtre de certificat.
gotcha
- Cliquez sur Appliquer.
Après avoir modifié un filtre
d'utilisateurs ou de groupes LDAP dans le panneau Paramètres LDAP avancés, cliquez sur
Valider. Lorsque vous cliquez sur
OK, vous accédez au panneau du Registre LDAP autonome, qui contient le type d'annuaire LDAP précédent à la place du type d'annuaire LDAP personnalisé. Si vous cliquez sur
OK ou sur
Valider dans le
panneau Registre LDAP autonome, le type d'annuaire LDAP précédent est sauvegardé,
ainsi que les filtres par défaut de cet annuaire. Cette opération remplace toutes
les modifications que vous avez apportées aux filtres. Pour que les modifications ne
soient pas écrasées, vous pouvez effectuer l'une des opérations suivantes :
- Cliquez sur Valider dans le panneau des paramètres du registre d'utilisateurs LDAP (Advanced Lightweight Directory Access Protocol). Cliquez sur Sécurité > Sécurité globale et changez le type
de référentiel de comptes d'utilisateur en registre personnalisé
autonome.
- Choisissez le type Personnalisé dans le panneau Registre LDAP autonome.
Cliquez sur Valider et modifiez les filtres en cliquant dans le panneau des paramètres du registre d'utilisateurs LDAP (Advanced Lightweight Directory Access Protocol). Après avoir effectué vos modifications, cliquez sur Valider ou OK.
La validation des modifications ne s'effectue pas dans ce panneau. La validation est effectuée lorsque vous cliquez
sur OK ou Valider dans le panneau Sécurité globale.
Si vous activez la sécurité pour la
première fois, suivez les étapes restantes et accédez au panneau Sécurité globale.
Sélectionnez Registre LDAP autonome comme référentiel du compte utilisateur.
Si la sécurité est déjà activée et que des informations ont été modifiées dans ce
panneau, affichez le panneau Sécurité globale et cliquez sur OK ou Valider
pour valider les modifications. Si les modifications ne sont pas validées,
le serveur risque de ne pas démarrer.
Résultats
Ces étapes permettent de configurer les filtres de recherche LDAP. Ces étapes sont obligatoires pour modifier les filtres d'utilisateurs et de groupes
existants pour un type d'annuaire LDAP donné. Vous pouvez également les utiliser pour
configurer des filtres de certificats et mapper des certificats à des entrées sur le
serveur LDAP.
Que faire ensuite
- Validez cette configuration en cliquant sur OK ou sur Valider
dans le panneau Sécurité globale.
- Sauvegardez, arrêtez et démarrez tous les serveurs du produit, y compris la cellule, les noeuds et tous les serveurs d'applications, pour que les modifications apportées dans ce panneau soient prises en compte.
- Une fois que le serveur a démarré, accédez à toutes les tâches de sécurité
(extraction d'utilisateurs et de groupes, etc.) pour vous assurer que les modifications
apportées aux filtres fonctionnent.