Options de recherche d'une appartenance au groupe dans une forêt Microsoft Active Directory
La recherche d'une appartenance au groupe dans une forêt Microsoft Active Directory est nécessaire pour l'authentification des utilisateurs. Il existe plusieurs façons de rechercher une appartenance au groupe dans la forêt Microsoft Active Directory.
La figure ci-après illustre un exemple d'appartenance au groupe avec la forêt Microsoft Active Directory. Elle permet de décrire les différentes manières de rechercher une appartenance au groupe.
Figure 1. Recherche d'une appartenance au groupe.. Illustration des méthodes de recherche d'une appartenance au groupe.

- L'Option 1 n'utilise pas de groupes imbriqués et les étapes ci-après
décrivent le processus de recherche d'une appartenance au groupe à l'aide d'une structure d'organisation hypothétique.
- Créez un groupe global NA employees.
- Créez un groupe global EU employees.
- Mappez le rôle Java™ Platform Enterprise Edition (Java EE) à NA employees + EU employees. Ce mappage peut devenir ingérable s'il y a trop de sous-domaines.
- Activez les référenceurs.Dans WebSphere Application Server version 6.1, utilisez les référentiels fédérés, et plus particulièrement :
- Utilisez un domaine fédéré.
- Ajoutez le contrôleur de domaine de niveau supérieur Microsoft Active Directory au référentiel. N'ajoutez pas de contrôleurs de sous-domaine. Ce faisant, vous obtiendrez plusieurs occurrences lors de la recherche d'ID utilisateur, ce qui entraînerait un échec des connexions utilisateur.
- Sélectionez "Référenceurs de support vers d'autres serveurs LDAP" = "follow".
- L'Option 2 utilise des groupes universels.
- Placez des utilisateurs individuels dans le groupe universel Employees.Conditions préalables :
- Les niveaux fonctionnels des domaines natifs Windows 2003 sont requis.
- Les ID utilisateur doivent figurer directement dans des groupes universels.
- Mappez le rôle Java EE à Employees.
- Connectez-vous à un catalogue global de la forêt.Conseil : Cette option permet de réduire le volume de trafic de recherche de répertoire. WebSphere Application Server n'a pas à suivre tous les référenceurs au sein de l'arborescence de répertoires. Ainsi, chaque contrôleur de domaine peut résoudre intégralement les informations de groupe en local.
- Placez des utilisateurs individuels dans le groupe universel Employees.
- L'Option 3 utilise les groupes imbriqués.
- Créez le groupe universel Employees.
- Créez NA Employees et EU Employees en tant que groupes globaux et définissez-les comme
membres dans le groupe universel Employees.Conditions préalables : Niveaux fonctionnels de domaine natif Windows.
- Mappez le rôle Java JEE à "Employees".
- Activez les référenceurs.Pour WebSphere Application Server version 6.1, utilisez les référentiels fédérés, et plus particulièrement :
- Utilisez un domaine fédéré.
- Ajoutez le contrôleur de domaine de niveau supérieur Active Directory au référentiel. N'ajoutez pas de contrôleurs de sous-domaine, car vous obtiendrez plusieurs occurrences lors de la recherches d'ID utilisateur, et les connexions échoueraient.
- Sélectionnez "Référenceurs de support vers d'autres serveurs LDAP" = "follow".
- Activez les groupes imbriqués.
Conseil : Cette option présente une approche optimale lors de l'utilisation de WebSphere Application Server versions 6.1 ou suivante. Dans les éditions antérieures à WebSphere Application Server version 6.1, les référenceurs n'étaient pas officiellement pris en charge.
Récapitulatif
Le tableau ci-après récapitule comment rechercher une appartenance au groupe dans une forêt Microsoft Active DirectoryAppartenance au groupe | Mappage des rôles Java EE à | Liaison à LDAP | Activer | Pris en charge dans WebSphere Application Server Version | Commentaires |
---|---|---|---|---|---|
Groupes globaux | Collection de groupes globaux | Contrôleur de domaine de niveau supérieur utilisant le port 389/636 | Référenceurs |
|
|
Groupes universels | Groupes universels | Tout catalogue global, utilisant le port 3268 | Toutes | ||
Groupes globaux dans groupes universels | Groupes universels | Contrôleur de domaine de niveau supérieur utilisant le port 389/636 | référenceurs, imbrication |
|
Ne peut pas utiliser le niveau fonctionnel de domaine mixte Windows |
Configuration pour l'utilisation de l'attribut objectCategory
Un référentiel fédéré utilise l'attribut objectCategory par défaut pour les filtres de recherche d'utilisateur Active Directory. Vous pouvez garantir que le référentiel fédéré est configuré pour utiliser l'attribut objectCategory. Par exemple, le fichier de configuration de référentiels fédérés, wimconfig.xml, doit être identique à celui de l'exemple ci-dessous :<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
Configurez
le filtre d'utilisateurs et le filtre de groupes (propriétés avancées) comme dans l'exemple suivant :
Filtre d'utilisateurs : (&(sAMAccountName=%v)(objectCategory=user))
Filtre de groupes : (&cn=%v)(objectCategory=group)
Suivez les
instructions ci-après depuis la console d'administration pour indiquer l'attribut objectCategory dans le filtre de recherche.
- Cliquez sur Sécurité > Sécurité globale.
- Sous Définitions de domaine disponibles, sélectionnez Référentiels fédérés, puis Configurer. Dans un environnement de domaines de sécurité multiple, cliquez sur Domaines de sécurité > nom domaine. Sous Attributs de sécurité, développez Domaine utilisateur et cliquez sur Personnalisation pour ce domaine. Sélectionnez le type de domaine Référentiels fédérés et cliquez sur Configurer.
- Dans la section Articles liés, cliquez sur Gestion des référentiels.
- Sélectionnez Forêt > Types d'entités LDAP > PersonAccount. Sous Propriétés générales, recherchez la zone Filtre de recherche.
- Remplissez le filtre de recherche.
(objectCategory=user)
