Authentification des utilisateurs à l'aide de registres LDAP dans une forêt Microsoft Active Directory

Il peut être complexe d'authentifier un utilisateur dans plusieurs référentiels, ou dans plusieurs référentiel LDAP (Lightweight Directory Access Protocol) réparti, tel qu'une forêt Microsoft Active Directory. Lors d'une recherche dans l'intégralité du registre d'un utilisateur, si plusieurs occurrences sont trouvées au au cours de la phase d'exécution, l'authentification échoue en raison de résultats ambigus.

Avant de commencer

Dans un environnement comportant plusieurs domaines Microsoft Active Directory, l'administrateur WebSphere Application Server doit garder à l'esprit que l'ID unique par défaut dans Microsoft Active Directory est l'attribut sAMAccountName d'un utilisateur.

Pourquoi et quand exécuter cette tâche

Les ID utilisateur sont uniques dans un domaine unique. Cela n'est cependant pas garanti dans une arborescence ou une forêt. Supposons, par exemple, que l'ID utilisateur smith soit ajouté à la forêt et dans chaque sous-domaine. La recherche de sAMAccountName=smith renvoie trois occurrences. WebSphere Application Server n'authentifie pas cet utilisateur lorsqu'il y a plusieurs occurrences possibles dans le registre.
Figure 1. Stratégie de recherche de forêt. Illustration de la recherche d'un ID sAMAccountName non unique dans la forêt entière.Stratégie de recherche de forêt

Vous pouvez limiter cette condition en changeant le filtre d'utilisateurs pour qu'il soit basé sur l'attribut userPrincipalName de l'utilisateur, lequel est unique dans la forêt, au lieu d'être basé sur son attribut sAMAccountName. Toutefois, les utilisateurs doivent ensuite savoir comment se connecter avec leur attribut userPrincipalName, ce qui n'est pas évident.

La procédure spécifique permettant d'établir un filtre utilisateur sur un registre d'utilisateurs LDAP dépend du type de registre LDAP. Les exemples ci-après illustrent une procédure pour un registre LDAP autonome et une procédure pour un registre de référentiels fédérés.

Procédure

  1. Etablissement d'un filtre utilisateur sur un registre LDAP autonome : Vous pouvez définir les filtre utilisateur dans la page des paramètres du registre utilisateur LDAP (Advance Lightweight Access Protocol) pour que la recherche porte sur la valeur userPrincipalName et non la valeur sAMAccountName.
    Exemple :
    (&(objectClass=user)(userPrincipalName=%w))
  2. Etablissement d'un filtre utilisateur sur un registre de référentiels fédérés : Vous pouvez définir la propriété de connexion uid;cn dans le référentiel LDAP, par exemple, à l'aide de la console d'administration.
    1. Cliquez surSécurité > Sécurité globale.
    2. Sous Définitions de domaine disponibles, sélectionnez Référentiels fédérés, puis Configurer. Dans un environnement de domaines de sécurité multiple, cliquez sur Domaines de sécurité > nom domaine. Sous Attributs de sécurité, développez Domaine utilisateur et cliquez sur Personnalisation pour ce domaine. Sélectionnez le type de domaine Référentiels fédérés et cliquez sur Configurer.
    3. Dans la section Articles liés, cliquez sur Gestion des référentiels.
    4. Cliquez sur Ajouter > Référentiel LDAP.
    5. Sous Propriétés générales, ajoutez les informations suivantes :
      Identificateur de référentiel
      forest
      Type de répertoire
      Microsoft Windows Active Directory
      Nom d'hôte primaire
      forest.acme.net
      port
      389
      Serveur de reprise en ligne utilisé lorsque le premier n'est pas disponible
      Aucun
      Nom distinctif de liaison
      cn=wasbind, CN=Users, DC=ib
      Mot de passe de liaison
      ********
      Propriétés de connexion
      uid;cn
  3. Cliquez sur OK et sur Sauvegarder pour enregistrer les modifications apportées à la configuration maîtresse.
  4. Dans la page de configuration du référentiel LDAP, sous Propriétés supplémentaires, cliquez sur Attributs LDAP.
  5. Cliquez sur Ajouter > Pris en charge.
  6. Dans la zone Nom, entrez userPrincipalName.
  7. Dans la zone Nom de la propriété, entrez cn.
  8. Dans la zone Types d'entité, entrez PersonAccount.
  9. Cliquez sur OK et sur Sauvegarder pour enregistrer les modifications apportées à la configuration maîtresse.
  10. Recherchez le fichier {WAS_HOME}\profiles\{profileName}\config\cells\{cellName}\wim\config\wimconfig.xml ou profile_root/conf/cells/<cell>/wim/config/wimconfig.xml dans la configuration du gestionnaire de déploiement.
  11. Modifiez le fichier wimconfig.xml.
    1. Recherchez l'attribut <config:attributeConfiguration> dans le fichier.
    2. Ajoutez les lignes suivantes :
      <config:attributes name="userPrincipalName" propertyName="cn">
      <config:entityTypes>PersonAccount</config:entityTypes>
      </config:attributes>
    Remarque : Le fichier wimconfig.xml est remplacé par le traitement de la console d'administration. L'ajout de ces "3" lignes au fichier wimconfig.xml peut alors être perdu.
  12. Enregistrez le fichier wimconfig.xml.
  13. Exécutez le script profile_root/bin/syncNode.bat or profile_root/syncNode.bar/sh sur tous les noeuds de la configuration.

Résultats

Eviter les incidents Eviter les incidents: Lorsque vous choisissez l'un de ces scénarios, consultez les informations Microsoft Active Directory appropriées pour bien comprendre les implications de ces scénarios sur votre planning de configuration.gotcha

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad_filter
Nom du fichier : tsec_was_ad_filter.html