Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access Protocol)
Cette page permet de configurer les paramètres du registre d'utilisateurs LDAP lorsque des utilisateurs et des groupes se trouvent dans un annuaire LDAP externe.
- Cliquez sur .
- Sous Référentiel du compte d'utilisateur, cliquez sur la liste déroulante Définitions des domaines disponibles, sélectionnez Registre LDAP autonome, puis Configurer.
- Dans le menu Propriétés supplémentaires, cliquez sur Paramètres avancés de registres d'utilisateurs LDAP (Lightweight Directory Access Protocol).
Les valeurs par défaut pour tous les filtres d'utilisateurs et relatifs au groupe sont déjà indiquées dans les zones appropriées. Vous pouvez modifier ces valeurs en fonction de vos besoins. Ces valeurs par défaut dépendent du type de serveur LDAP sélectionné dans le panneau de paramètres Registre LDAP autonome. Si ce type est modifié, par exemple de Netscape en Secureway, les filtres par défaut sont automatiquement modifiés. Si les valeurs des filtres par défaut sont modifiées, le type du serveur LDAP devient Personnalisé pour indiquer que des filtres personnalisés sont utilisés. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez au panneau Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.
Il est recommandé d'effectuer la migration des registres LDAP autonomes vers les référentiels fédérés. Si vous décidez d'utiliser WebSphere Portal 6.1 ou version ultérieure ou WebSphere Process Server 6.1 ou version ultérieure, vous devez avant d'effectuer les mises à niveau migrer vers les référentiels fédérés. Pour plus d'informations sur les référentiels fédérés et leurs fonctions, consultez la rubrique correspondante. Pour plus d'informations sur le mode de migration vers des référentiels fédérés, consultez la rubrique Migration d'un référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés.
Filtre d'utilisateurs
Indique le filtre d'utilisateurs LDAP qui recherche des utilisateurs dans le registre.
Cette option est généralement utilisée pour les affectations de rôle de sécurité aux utilisateurs et précise sur quelle propriété doit porter la recherche des utilisateurs dans le service d'annuaire. Par exemple, pour rechercher des utilisateurs en fonction de leur ID, indiquez (&(uid=%v)(objectclass=inetOrgPerson)). Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Filtre de groupes
Indique le filtre de groupes LDAP qui recherche des groupes dans le registre d'utilisateurs.
Cette option est généralement utilisée pour les affectations de rôle de sécurité aux groupes et précise sur quelle propriété doit porter la recherche des groupes dans le service d'annuaire. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Mappe d'ID utilisateur
Indique le filtre LDAP qui mappe le nom abrégé d'un utilisateur vers une entrée LDAP.
Indique les informations représentant les utilisateurs lorsque ces derniers s'affichent. Par exemple, pour afficher des entrées du type object class = inetOrgPerson par ID, indiquez inetOrgPerson:uid. Cette zone accepte plusieurs paires objectclass:property séparées par des points-virgules (;).
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Mappe d'ID de groupe
Indique le filtre LDAP qui mappe le nom abrégé d'un groupe vers une entrée LDAP.
Indique l'information représentant les groupes lorsque ces derniers apparaissent. Par exemple, pour afficher les groupes par leur nom, indiquez *:cn. Dans cet exemple, le caractère générique * permet de lancer une recherche sur toute classe d'objets. Cette zone accepte plusieurs paires objectclass:property, séparées par des points-virgules (;).
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Mappe d'ID membre de groupe
Indique le filtre LDAP qui identifie les relations entre les utilisateurs et les groupes.
Pour les types d'annuaire SecureWay et Domino, cette zone accepte plusieurs paires classeobjet:propriété délimitées par un point-virgule (;). Dans la paire objectclass:property, la valeur de la classe d'objets est identique à celle définie dans le filtre de groupe et la propriété correspond à l'attribut member. Si la valeur de la classe d'objets ne correspond pas à la classe d'objets du filtre de groupe, l'autorisation peut échouer si les groupes sont mappés à des rôles de sécurité. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.
Pour IBM® Directory Server, Sun ONE et Active Directory, cette zone accepte plusieurs paires group attribute:member attribute délimitées par un point-virgule (;). Ces paires sont utilisées pour rechercher les appartenances d'un utilisateur à des groupes en énumérant tous les attributs de groupe d'un utilisateur donné. Par exemple, la paire d'attributs memberof:member est utilisée par Active Directory, et ibm-allGroup:member est utilisée par IBM Directory Server. Cette zone indique quelle propriété d'une classe d'objets détient la liste des membres appartenant au groupe représenté par cette classe. Pour les serveurs d'annuaire pris en charge, voir Services d'annuaire pris en charge.
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Réalisation d'une recherche de groupe imbriqué
Indique une recherche de groupe récursive.
- IBM Directory Server est préconfiguré par la sécurité des serveurs d'applications afin de calculer de manière récursive les appartenances à des groupes pour un utilisateur à l'aide de l'attribut ibm-allGroup.
- Le serveur d'annuaires SunONE est préconfiguré pour calculer les appartenances à des groupes imbriqués à l'aide de l'attribut nsRole.
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Filtre utilisateur Kerberos
Spécifie la valeur du filtre utilisateur Kerberos. Cette valeur peut être modifiée lorsque Kerberos est actif et configuré comme l'une des méthodes d'authentification favorites.
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Mode de mappage des certificats
Indique si les certificats X.509 doivent ou non être mappés dans un répertoire LDAP par EXACT_DN ou CERTIFICATE_FILTER. Indiquez CERTIFICATE_FILTER pour utiliser le filtre de certificat indiqué pour le mappage.
Information | valeur |
---|---|
Type de données : | String (chaîne) |
Filtre de certificats
Indique la propriété de mappage de certificat de filtre pour le filtre LDAP. Le filtre est utilisé pour mapper des attributs dans le certificat de client pour les entrées du registre LDAP.
- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
où <xx> est remplacé par les caractères représentant un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de l'émetteur (Issuer Common Name).
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
, où <xx> est remplacé par les caractères qui représentent un composant valide du nom distinctif du sujet. Par exemple, vous pouvez utiliser ${SubjectCN} pour le nom commun du sujet.
- ${Version}

Information | valeur |
---|---|
Type de données : | String (chaîne) |