Limitations des référentiels fédérés

Cette rubrique présente des informations importantes sur les limitations connues des référentiels fédérés et pour leur configuration.

Configuration des référentiels fédérés dans un environnement multiversion

Dans une cellule du gestionnaire de déploiement en version mixte qui contient des noeuds de la version 6.1.x et de la version 5.0.x ou 6.0.x, les limitations suivantes s'appliquent à la configuration des référentiels fédérés :
  • Vous ne pouvez configurer qu'un seul référentiel LDAP (Lightweight Directory Access Protocol) sous référentiels fédérés. Ce référentiel doit être pris en charge par la version 5.0.x ou 6.0.x.
  • Vous devez spécifier un nom de domaine compatible avec les versions antérieures. Le nom d'hôte et le numéro de port représentent le domaine du serveur LDAP dans une cellule de noeuds de version mixte. Par exemple, machine1.austin.ibm.com:389.
  • Vous devez configurer un registre LDAP autonome ; les informations contenues dans la configuration des référentiels fédérés dans le registre LDAP autonome et du référentiel LDAP doivent correspondre. Au cours de la synchronisation des noeuds, les informations du registre LDAP autonome sont propagées aux noeuds des versions 5.0.x ou 6.0.x.
    Important : Avant la synchronisation de noeuds, Vérifiez que les référentiels fédérés sont identifiés dans la zone de définition du domaine en cours. Si aucun référentiel fédéré n'est identifié, sélectionnez Référentiels fédérés dans la zone Définition du domaine disponible et cliquez sur Définir comme actuel. Ne définissez pas le registre LDAP autonome comme définition du domaine en cours.
  • Vous ne pouvez pas configurer un référentiel de mappage d'entrées ou un référentiel d'extension de propriété dans une cellule du gestionnaire de déploiement en version mixte.

Configuration des serveurs LDAP dans un référentiel fédéré

La valeur par défaut de la connexion LDAP connectTimeout est 20 secondes. Le protocole LDAP doit répondre dans un délai de 20 secondes à toute requête provenant de WebSphere Application Server. Si vous ne pouvez pas vous connecter à votre LDAP dans ce délai, assurez-vous que votre LDAP est en cours d'exécution. Si le délai de connexion dépasse 20 secondes, une erreur de connexion s'affiche en haut du panneau de configuration du protocole LDAP.

Cohabitation avec Tivoli Access Manager

Pour que Tivoli Access Manager cohabite avec une configuration de référentiels fédérés, les limitations suivantes s'appliquent :
  • Vous pouvez configurer un seul référentiel LDAP sous référentiels fédérés. Sa configuration doit correspondre à celle du serveur LDAP sous Tivoli Access Manager.
  • Le nom distinctif de l'entrée de base de domaines doit correspondre à celui de l'entrée de base LDAP du référentiel. Dans WebSphere Application Server, Tivoli Access Manager reconnaît l'ID utilisateur et le nom distinctif LDAP à la fois pour l'authentification et l'autorisation. La configuration des référentiels fédérés n'inclut pas de mappages additionnels pour l'ID utilisateur et le nom distinctif LDAP.
  • La fonctionnalité de référentiels fédérés ne reconnaît pas les métadonnées spécifiées par Tivoli Access Manager. Quand des utilisateurs et des groupes sont créés sous la gestion des utilisateurs et des groupes, ils ne sont pas formatés à l'aide des métadonnées de Tivoli Access Manager. Les utilisateurs et les groupes doivent être importés manuellement dans Tivoli Access Manager pour pouvoir être utilisés dans les procédures d'authentification et d'autorisation.

Limitation pour configurer les répertoires actifs avec leurs propres domaines de référentiel fédéré

Pour utiliser la console d'administration afin d'exécuter une recherche générique sur tous les utilisateurs disponibles dans deux annuaires Active Directory, et pour éviter les exceptions d'entrées multiples avec tous les ID intégrés, vous devez d'abord configurer chaque annuaire Active Directory avec son propre domaine de référentiel fédéré.

Cependant, vous ne pouvez pas utiliser la console d'administration pour configurer chaque annuaire Active Directory avec son propre domaine de référentiel fédéré. A la place, vous pouvez utiliser un script wsadmin comme celui-ci :
$AdminTask createIdMgrRealm {-name AD1realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD1realm -baseEntry o=AD1}

$AdminTask createIdMgrRealm {-name AD2realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD2realm -baseEntry o=AD2}

$AdminConfig save

Limitation de l'ID de référentiel dans une configuration de référentiels fédérés

Dans une configuration de référentiels fédérés, l'ID de référentiel ne doit pas comporter plus de 36 caractères. Dans le cas contraire, une erreur se produit lors de la récupération ou du stockage des données, notamment si le référentiel d'extension de propriété est configuré.

Serveur LDAP z/OS avec RACF non pris en charge

Les référentiels fédérés WebSphere Application Server NE PRENNENT PAS EN CHARGE un serveur LDAP z/OS LDAP avec un dorsal SDMB (Resource Access Control Facility (RACF)).


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwim_limitations
Nom du fichier : rwim_limitations.html