Authentification à l'aide Microsoft Active Directory

De nombreuses installations utilisent Microsoft Active Directory en tant que composant principal pour la gestion de l'authentification d'utilisateur et des données utilisateur. Une partie de Microsoft Active Directory fournit un service LDAP (Lightweight Directory Access Protocol). WebSphere Application Server prend en charge LDAP et, par conséquent, WebSphere Application Server prend en charge Microsoft Active Directory.

Dans la mesure où Microsoft Active Directory est intégralement compatible LDAP, il présente les informations LDAP d'une manière qui peut rendre difficile l'obtention d'informations d'annuaire pour WebSphere Application Server.

WebSphere Application Server fonctionne d'une manière qui suppose qu'un seul annuaire LDAP contient toutes les informations nécessaires aux opérations. Avec les configurations complexes de Microsoft Active Directory, ce n'est pas le cas. Les installations WebSphere Application Server - Microsoft Active Directory doivent doivent relever des défis uniques en raison de la manière dont les données sont réparties sur les contrôleurs de domaines d'une forêt.

Les installations Microsoft Active Directory incorpore fréquemment l'utilisation d'une forêt. De cette façon, les questions de sécurité relatives au caractère unique des ID utilisateur, à l'obtention fiable d'informations de groupe d'utilisateurs et à la répartition de l'appartenance au groupe dans les forêts, deviennent importantes.

La figure met en évidence l'environnement d'une installation Microsoft Active Directory classique.

Figure 1. Forêts Microsoft Active Directory . Illustration des forêts Microsoft Active Directory.Illustration de forêts Microsoft Active Directory.

Cette figure représente deux forêts comportant plusieurs arborescences. Une arborescence peut contenir un ou plusieurs domaines , ces derniers étant une unité atomique unique qui constitue la base de l'environnement construit. Chaque domaine comporte les composants de domaine principal du nom distinctif, par exemple dc=acme, dc=com. Une forêt peut étendre la confiance à d'autres forêts (cette confiance est basée sur Kerberos.).

Configurations Microsoft Active Directory avec WebSphere Application Server

Plusieurs configurations Microsoft Active Directory sont possibles pour WebSphere Application Server, parmi lesquelles :
  • Configuration simple
  • Configuration classique
  • Configurations moins classiques
  • Configurations rares

Le configuration la plus simple consiste à en registre LDAP autonome représentant un domaine unique. Cette configuration représente la meilleure association entre WebSphere Application Server et Microsoft Active Directory. Dans cette configuration, Microsoft Active Directory est pris en charge via l'implémentation d'un registre d'utilisateurs LDAP autonome WebSphere Application Server. Vous pouvez également accéder à ce domaine Microsoft Active Directory unique via un registre des référentiels fédérés, lequel contient un référentiel LDAP unique.

Au-delà de la simple configuration Microsoft Active Directory de domaine unique, une configuration Microsoft Active Directory classique se compose d'une arborescence unique dans une forêt où chaque branche représente un domaine. L'exemple suivante illustre une telle configuration, comprenant une arborescence unique composée de quatre domaines (A, B, C, D) :

Figure 2. Configuration de forêt classique . Configuration de forêt classique.Illustration d'un configuration de forêt standard
Les configurations telles que celles-ci comportent fréquemment des domaines classés par une unité géographique ou unité organisationnelle. La configuration de registre WebSphere Application Server qui est nécessaire à l'utilisation de cette implémentation Microsoft Active Directory d'"arborescence unique" doit utiliser les référentiels fédérés. Cette configuration comporte un registre LDAP pour le mappage des entrées à partir de plusieurs référentiels d'utilisateurs individuels dans un référentiel virtuel unique. Ces configurations créent un référentiel d'utilisateurs fédéré avec un seul domaine nommé et une sous-arborescence LDAP au sein du référentiel unique. La racine du référentiel est mappée à une entrée de base au sein du référentiel fédéré, lequel constitue le point de départ au sein de l'espace de nom hiérarchique du domaine virtuel. Les recherches LDAP dans le cadre de cette configuration poursuivent la liaison à l'objet de domaine supérieur et le suivi des référenceurs LDAP.
Eviter les incidents Eviter les incidents: Le registre LDAP autonome dans WebSphere Application Server ne prend pas en charge les référenceurs LDAP et ne peut pas être utilisé dans une configuration WebSphere Application Server - Microsoft Active Directory.gotcha

Les configurations WebSphere Application Server - Microsoft Active Directory moins classiques sont issues de fusions d'unités organisationnelles dans une plus grande entreprise. Alors qu'une seule forêt de domaines servait une seule fois l'entreprise, la fusion de plusieurs unités organisationnelles peut ajouter des arborescences à la forêt ou même ajouter plusieurs forêts uniques à l'environnement. Dans un tel environnement, la configuration LDAP WebSphere Application Server nécessite une conception plus attentive. Vous devez utiliser les registres de référentiels fédérés avec des référentiels LDAP distincts mappés à la partie supérieure de chaque arborescence de la forêt. De plus, si une arborescence Microsoft Active Directory existe sous le domaine de niveau supérieur, les référenceurs LDAP doivent être activés pour le registre LDAP. La forêt qui résulte d'une fusion peut ressembler à la figure suivante :

Figure 3. Configurations moins classiques . Configurations moins classiques qui illustrent la fusion d'arborescencesConfigurations moins classiques qui illustrent la fusion d'arborescences

Les configurations rares se composent de domaines Microsoft Active Directory qui sont configurés pour associer une forêt utilisateur et une forêt de groupe. Les utilisateurs sont importés en tant qu'objets ForeignSecurityPrincipals dans la forêt de groupe. Les groupes contiennent le nom distinctif des objets ForeignSecurityPrincipals en tant que membres.

Dans cette forme de configuration, les recherches de groupe direct n'ont pas lieu. Les recherches sont reléguées à une requête de groupe statique au sein de plusieurs registres. Cette configuration nécessite un registre d'utilisateurs personnalisé personnalisé. Toutefois, les registres WebSphere Application Server ne prennent pas en charge ce type de configuration. Voir la figure ci-après.

Figure 4. Forêt de modèle de ressource . Illustration d'une forêt de modèle de ressource.Illustration d'une forêt de modèle de ressource.

Utilisation d'une forêt Microsoft Active Directory en tant que filtre d'utilisateurs LDAP

Il peut être complexe d'authentifier un utilisateur au sein de plusieurs référentiels ou d'un LDAP réparti, par exemple une configuration de forêt Microsoft Active Directory. Lors d'une recherche dans l'intégralité du registre, l'authentification échoue si plusieurs occurrences sont trouvées au au cours de la phase d'exécution, en raison de résultats ambigus. Dans un environnement comportant plusieurs domaines Microsoft Active Directory, l'administrateur WebSphere Application Server doit garder à l'esprit que l'ID unique par défaut dans Microsoft Active Directory est l'attribut sAMAccountName d'un utilisateur. Les ID utilisateur sont uniques dans un domaine unique, mais il n'est pas possible de garantir qu'un ID utilisateur donné soit unique ai sein d'une arborescence ou d'une forêt. Consultez la rubrique "Authentification des utilisateurs à l'aide de registres LDAP dans une forêt Microsoft Active Directory" pour plus de détails concernant la recherche d'ID utilisateur au sein d'une forêt Microsoft Active Directory à l'aide de l'attribut sAMAccountName d'un utilisateur.

Eviter les incidents Eviter les incidents: Avant de choisir l'un de ces scénarios, consultez les informations Microsoft Active Directory appropriées pour bien comprendre les implications de ces scénarios sur votre planning de configuration.gotcha

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad
Nom du fichier : csec_was_ad.html