Options de recherche d'une appartenance au groupe dans une forêt Microsoft Active Directory

La recherche d'une appartenance au groupe dans une forêt Microsoft Active Directory est nécessaire pour l'authentification des utilisateurs. Il existe plusieurs façons de rechercher une appartenance au groupe dans la forêt Microsoft Active Directory.

La figure ci-après illustre un exemple d'appartenance au groupe avec la forêt Microsoft Active Directory. Elle permet de décrire les différentes manières de rechercher une appartenance au groupe.

Figure 1. Recherche d'une appartenance au groupe.. Illustration des méthodes de recherche d'une appartenance au groupe.Recherche de groupes membres
  • L'Option 1 n'utilise pas de groupes imbriqués et les étapes ci-après décrivent le processus de recherche d'une appartenance au groupe à l'aide d'une structure d'organisation hypothétique.
    • Créez un groupe global NA employees.
    • Créez un groupe global EU employees.
    • Mappez le rôle Java™ Platform Enterprise Edition (Java EE) à NA employees + EU employees. Ce mappage peut devenir ingérable s'il y a trop de sous-domaines.
    • Activez les référenceurs.
      Dans WebSphere Application Server version 6.1, utilisez les référentiels fédérés, et plus particulièrement :
      • Utilisez un domaine fédéré.
      • Ajoutez le contrôleur de domaine de niveau supérieur Microsoft Active Directory au référentiel. N'ajoutez pas de contrôleurs de sous-domaine. Ce faisant, vous obtiendrez plusieurs occurrences lors de la recherche d'ID utilisateur, ce qui entraînerait un échec des connexions utilisateur.
      • Sélectionez "Référenceurs de support vers d'autres serveurs LDAP" = "follow".
  • L'Option 2 utilise des groupes universels.
    • Placez des utilisateurs individuels dans le groupe universel Employees.
      Conditions préalables :
      • Les niveaux fonctionnels des domaines natifs Windows 2003 sont requis.
      • Les ID utilisateur doivent figurer directement dans des groupes universels.
    • Mappez le rôle Java EE à Employees.
    • Connectez-vous à un catalogue global de la forêt.
      Conseil : Cette option permet de réduire le volume de trafic de recherche de répertoire. WebSphere Application Server n'a pas à suivre tous les référenceurs au sein de l'arborescence de répertoires. Ainsi, chaque contrôleur de domaine peut résoudre intégralement les informations de groupe en local.
  • L'Option 3 utilise les groupes imbriqués.
    • Créez le groupe universel Employees.
    • Créez NA Employees et EU Employees en tant que groupes globaux et définissez-les comme membres dans le groupe universel Employees.
      Conditions préalables : Niveaux fonctionnels de domaine natif Windows.
    • Mappez le rôle Java JEE à "Employees".
    • Activez les référenceurs.
      Pour WebSphere Application Server version 6.1, utilisez les référentiels fédérés, et plus particulièrement :
      • Utilisez un domaine fédéré.
      • Ajoutez le contrôleur de domaine de niveau supérieur Active Directory au référentiel. N'ajoutez pas de contrôleurs de sous-domaine, car vous obtiendrez plusieurs occurrences lors de la recherches d'ID utilisateur, et les connexions échoueraient.
      • Sélectionnez "Référenceurs de support vers d'autres serveurs LDAP" = "follow".
    • Activez les groupes imbriqués.
    Conseil : Cette option présente une approche optimale lors de l'utilisation de WebSphere Application Server versions 6.1 ou suivante. Dans les éditions antérieures à WebSphere Application Server version 6.1, les référenceurs n'étaient pas officiellement pris en charge.

Récapitulatif

Le tableau ci-après récapitule comment rechercher une appartenance au groupe dans une forêt Microsoft Active Directory
Tableau 1. Recherche d'une appartenance au groupe.. Le tableau ci-après identifie les niveaux d'appartenance au groupe pris en charge dans une forêt Microsoft Active Directory.
Appartenance au groupe Mappage des rôles Java EE à Liaison à LDAP Activer Pris en charge dans WebSphere Application Server Version Commentaires
Groupes globaux Collection de groupes globaux Contrôleur de domaine de niveau supérieur utilisant le port 389/636 Référenceurs
  • Référentiels fédérés dans WebSphere Application Server
 
Groupes universels Groupes universels Tout catalogue global, utilisant le port 3268   Toutes  
Groupes globaux dans groupes universels Groupes universels Contrôleur de domaine de niveau supérieur utilisant le port 389/636 référenceurs, imbrication
  • Référentiels fédérés dans WebSphere Application Server
Ne peut pas utiliser le niveau fonctionnel de domaine mixte Windows

Configuration pour l'utilisation de l'attribut objectCategory

Un référentiel fédéré utilise l'attribut objectCategory par défaut pour les filtres de recherche d'utilisateur Active Directory. Vous pouvez garantir que le référentiel fédéré est configuré pour utiliser l'attribut objectCategory. Par exemple, le fichier de configuration de référentiels fédérés, wimconfig.xml, doit être identique à celui de l'exemple ci-dessous :
<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
Configurez le filtre d'utilisateurs et le filtre de groupes (propriétés avancées) comme dans l'exemple suivant :
Filtre d'utilisateurs : (&(sAMAccountName=%v)(objectCategory=user))
Filtre de groupes : (&cn=%v)(objectCategory=group)
Suivez les instructions ci-après depuis la console d'administration pour indiquer l'attribut objectCategory dans le filtre de recherche.
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Définitions de domaine disponibles, sélectionnez Référentiels fédérés, puis Configurer. Dans un environnement de domaines de sécurité multiple, cliquez sur Domaines de sécurité > nom domaine. Sous Attributs de sécurité, développez Domaine utilisateur et cliquez sur Personnalisation pour ce domaine. Sélectionnez le type de domaine Référentiels fédérés et cliquez sur Configurer.
  3. Dans la section Articles liés, cliquez sur Gestion des référentiels.
  4. Sélectionnez Forêt > Types d'entités LDAP > PersonAccount. Sous Propriétés générales, recherchez la zone Filtre de recherche.
  5. Remplissez le filtre de recherche.
    (objectCategory=user)
Eviter les incidents Eviter les incidents: Lorsque vous choisissez l'un de ces scénarios, consultez les informations Microsoft Active Directory appropriées pour bien comprendre les implications de ces scénarios sur votre planning de configuration.gotcha

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_group_mem
Nom du fichier : csec_was_ad_group_mem.html