Migration d'un référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés

Lors de la configuration de la sécurité pour votre serveur d'applications, vous aurez peut-être besoin de faire migrer un registre LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés.

Avant de commencer

Notez les spécifications de votre référentiel LDAP autonome à migrer pour référence lors de la configuration du référentiel LDAP de référentiels fédérés. Pour accéder à ces zones, dans la console d'administration, cliquez sur Sécurité > Sécurité globale puis, sous Référentiel du compte utilisateur, sélectionnez Registre LDAP autonome ou Référentiels fédérés dans la zone des définitions de domaine disponibles et cliquez sur Configurer. Pour accéder à ces zones dans un environnement comptant plusieurs domaines de sécurité, cliquez sur Sécurité > Sécurité globale > Domaines de sécurité > nom_domaine puis, sous Attributs de sécurité, développez Domaine d'utilisateur et cliquez sur Personnaliser pour ce domaine. Sélectionnez le type de domaine Registre LDAP autonome ou Référentiels fédérés puis cliquez sur Configurer.

Eviter les incidents Eviter les incidents: Si vous ne savez pas utiliser les attributs LDAP, notamment les attributs de filtrage des utilisateurs et des groupes, prenez contact avec votre administrateur LDAP pour qu'il vous aide à définir des valeurs pour ces attributs qui sont appropriées à votre système.gotcha

Le tableau suivant présente les panneaux et les zones de la console d'administration relatifs à la configuration du référentiel LDAP autonome et les zones correspondantes dans une configuration de référentiel LDAP de référentiels fédérés à des fins de mappage.

Tableau 1. Mappage entre une configuration de référentiel LDAP autonome et une configuration de référentiel LDAP de référentiels fédérés. Ce tableau illustre le mappage entre une configuration de référentiel LDAP autonome et une configuration de référentiel LDAP de référentiels fédérés.
Configuration du référentiel LDAP autonome Configuration du référentiel LDAP de référentiels fédérés
Sécurité globale > Registre LDAP autonome

Propriétés générales – Nom d'utilisateur administratif principal

Sécurité globale > Référentiels fédérés

Propriétés générales – Nom d'utilisateur administratif principal

Sécurité globale > Registre LDAP autonome

Serveur LDAP - Type de serveur LDAP

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Serveur LDAP - Type de répertoire

Sécurité globale > Registre LDAP autonome

Serveur LDAP - Hôte

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Serveur LDAP - Nom d'hôte principal

Sécurité globale > Registre LDAP autonome

Serveur LDAP - Port

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Serveur LDAP - Port

Sécurité globale > Registre LDAP autonome

Serveur LDAP - Hôtes de reprise en ligne

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Serveur LDAP – Serveur de reprise en ligne utilisé lorsque le premier n'est pas disponible

Sécurité globale > Registre LDAP autonome

Serveur LDAP – Nom distinctif de base (DN)

Sécurité globale > Référentiels fédérés > Référence du référentiel (cliquez sur Ajouter une entrée de base au domaine)

Propriétés générales – Nom distinctif d'une entrée de base qui identifie cet ensemble d'entrées de manière unique dans le domaine

et

Propriétés générales – Nom distinctif d'une entrée de base de ce référentiel

Sécurité globale > Registre LDAP autonome

Serveur LDAP - Délai d'expiration de la recherche

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel > Performances

Propriétés générales - Temps de recherche de limites

Sécurité globale > Registre LDAP autonome

Serveur LDAP - Propriétés personnalisées

Sécurité globale > Référentiels fédérés > Propriétés personnalisées
Sécurité globale > Registre LDAP autonome

Serveur LDAP - Identité de l'utilisateur de serveur

Sécurité globale > Référentiels fédérés

Propriétés générales - Identité de l'utilisateur de serveur

Sécurité globale > Registre LDAP autonome

Sécurité – Nom distinctif de liaison (DN)

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Sécurité – Nom distinctif de liaison

Sécurité globale > Registre LDAP autonome

Sécurité – Mot de passe de liaison

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Sécurité – Mot de passe de liaison

Sécurité globale > Registre LDAP autonome > Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access)

Propriétés générales - Filtre utilisateur Kerberos

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Sécurité – Attribut LDAP pour un nom principal Kerberos

Sécurité globale > Registre LDAP autonome > Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access)

Propriétés générales - Mode de mappage des certificats

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Sécurité – Mappage de certificats

Sécurité globale > Registre LDAP autonome > Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access)

Propriétés générales - Filtre de certificats

Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel

Sécurité – Filtre de certificats

La zone Nom de domaine sous Propriétés générales dans le panneau de configuration LDAP de référentiels fédérés n'est pas répertoriée dans le tableau précédent car elle n'a pas de correspondance avec une zone du panneau de configuration LDAP de référentiels autonomes. Le nom d'hôte et le numéro de port représentent le nom de domaine du serveur LDAP autonome dans la cellule WebSphere Application Server. Pour plus d'informations sur la modification du nom de domaine, voir la rubrique Paramètres de configuration de domaine.

Les zones Filtre d'utilisateurs, Filtre de groupes, Mappe des ID utilisateur, Mappe des ID groupe et Mappe des ID membre du groupe ne sont également pas répertoriées dans le tableau précédent car elles n'ont pas de correspondances un à un dans le panneau de configuration de référentiel LDAP de référentiels fédérés. Ces attributs LDAP sont définis différemment dans la configuration de référentiel LDAP de référentiels fédérés et impliquent plusieurs étapes. Ces paramètres sont décrits en détails dans les sections et la procédure suivantes.

Pourquoi et quand exécuter cette tâche

La migration depuis une configuration de référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés implique la migration des paramètres de configuration, ce qui est le plus souvent un processus simple, comme illustré dans le tableau 1 de la section précédente. La migration des filtres de recherche constitue une partie importante de la migration d'une configuration de référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés. Le concept et la migration des filtres de recherche LDAP sont donc décrits ici en détails.

Les filtres de recherche de registre LDAP autonome respectent la syntaxe des filtres LDAP dans laquelle vous indiquez l'attribut sur lequel la recherche est basée et sa valeur.

Le filtre d'utilisateurs est utilisé pour rechercher des utilisateurs dans le registre. Il permet d'authentifier un utilisateur à l'aide de l'attribut spécifié dans le filtre.

Le filtre de groupes est utilisé pour rechercher des groupes dans le registre. Il précise sur quelle propriété doit porter la recherche des groupes.

Exemples de filtres d'utilisateurs LDAP couramment utilisés : Dans les exemples de filtres de recherche suivants, %v est remplacé par le masque de recherche de l'utilisateur ou du groupe en phase d'exécution.

(&(uid=%v)(objectclass=ePerson))

Recherche les utilisateurs dont l'attribut uid correspond au masque de recherche spécifié de la classe d'objets ePerson.

(&(cn=%v)(objectclass=user))

Recherche les utilisateurs dont l'attribut cn correspond au masque de recherche spécifié de la classe d'objets user.

(&(sAMAccountName=%v)(objectcategory=user))

Recherche les utilisateurs dont l'attribut sAMAccountName correspond au masque de recherche spécifié de la catégorie d'objets user.

(&(userPrincipalName=%v)(objectcategory=user))

Recherche les utilisateurs dont l'attribut userPrinciplalName correspond au masque de recherche spécifié de la catégorie d'objets user.

(&(mail=%v)(objectcategory=user))

Recherche les utilisateurs dont l'attribut mail correspond au masque de recherche spécifié de la catégorie d'objets user.

(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))

Recherche les utilisateurs dont l'attribut sAMAccountName ou userPrincipalName correspond au masque de recherche spécifié de la catégorie d'objets user.

Exemples de filtres de groupes couramment utilisés

(&cn=%v)(objectCategory=group)

Recherche des groupes en fonction de leurs noms communs (cn).

(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

Recherche des groupes en fonction de leurs noms communs (cn) et en utilisant la classe d'objets groupOfNames ou groupOfUniqueNames.

Comme illustré dans ces exemples, un registre LDAP autonome est constitué d'attributs et de classes d'objets LDAP en fonction desquels la recherche ou la connexion est effectuée.

Vous pouvez également spécifier des attributs et des classes d'objets LDAP dans la configuration d'adaptateur LDAP de référentiels fédérés, mais ils sont configurés différemment et offrent une flexibilité accrue. Dans des référentiels fédérés, l'utilisateur est représenté en tant que type d'entité PersonAccount et le groupe, en tant que type d'entité Group. Chaque type d'entité possède sa propre propriété RDN (nom distinctif relatif) (rdnProperties) et sa propre classe d'objets. Par exemple, la propriété RDN par défaut de PersonAccount est uid et celle de Group est cn. Le mappage de classe d'objets par défaut dépend du type de serveur LDAP. Par exemple, pour Tivoli Directory Server, la classe d'objets correspondant à PersonAccount est inetOrgPerson et celle correspondant à Group est groupOfNames. PersonAccount peut également comprendre des propriétés de connexion. Lorsqu'un utilisateur se connecte ou qu'une recherche est effectuée pour un utilisateur dans le registre d'utilisateurs, ces propriétés de connexion sont mises en correspondance avec le masque. Par exemple, si les propriétés de connexion sont uid et mail, pour le masque de recherche a*, tous les utilisateurs qui correspondent à uid=a* ou mail=a* sont renvoyés.

Eviter les incidents Eviter les incidents: Vous pouvez indiquer la valeur de la propriété Mappe d'ID utilisateur (userIdMap) du référentiel LDAP de référentiels autonomes comme la propriété RDN (rdnProperties) ou la première propriété de connexion (loginProperties) dans des référentiels fédérés. Bien que vous puissiez définir à la fois la propriété RDN et la propriété de connexion dans des référentiels fédérés, la définition de la propriété RDN suffit. La propriété de connexion est facultative et vous ne devez la définir que si la propriété de connexion est différente de la propriété RDN ou s'il existe plusieurs propriétés de connexion. Si la propriété RDN et la propriété de connexion sont toutes deux définies, la propriété de connexion est prioritaire par rapport à la propriété RDN.gotcha

La migration des filtres de recherche implique une ou plusieurs des étapes suivantes : définition des propriétés de connexion correctes, mappage des attributs du référentiel dorsal sur les propriétés des référentiels fédérés, définition de la classe d'objets, définition du filtre de recherche à l'aide de la classe d'objets ou de la catégorie d'objets et définition de l'attribut de membre ou d'appartenance. Ce mappage et cette configuration pour les référentiels fédérés sont gérés dans le fichier wimconfig.xml.

Le filtre de recherche de registre LDAP autonome peut être divisé en deux parties :
  • Filtre d'attributs d'utilisateur ou de groupe
  • Filtre de classes d'objets ou de catégories d'objets d'utilisateur ou de groupe
Par exemple, dans le filtre de recherche (&(cn=%v)(objectclass=user)) :
  • Le filtre d'attributs est (cn=%v)
  • Le filtre de classes d'objets est (objectclass=user)
Ces deux filtres sont mappés séparément dans une configuration de référentiels fédérés.
  • Le filtre d'attributs est mappé sur la configuration de propriétés RDN ou de connexion pour un utilisateur et sur la configuration de propriétés RDN pour un groupe.
  • Le filtre de classes d'objets est mappé sur la configuration de type d'entité de l'adaptateur LDAP.
Le mappage d'attribut et de classe d'objets par défaut est défini sur le type de serveur LDAP mais des étapes supplémentaires peuvent être requises pour faire migrer ces deux filtres :
  • Filtre d'attributs :
    • Définition de l'une des propriétés RDN et de connexion, ou des deux (le cas échéant)
    • Mappage de la propriété de référentiel fédéré sur l'attribut LDAP (le cas échéant)
  • Filtre de classes d'objets :
    • Définition de la classe d'objets pour le type d'entité (le cas échéant)
    • Définition du filtre de recherche du type d'entité (le cas échéant)
Certaines étapes de la procédure suivante comprennent deux exemples. Dans ces étapes :
  • L'exemple 1 est applicable au scénario dans lequel vous faites migrer le filtre de recherche (&(cn=%v)(objectclass=ePerson)) d'un référentiel LDAP IBM Tivoli Directory Server autonome vers un référentiel LDAP de référentiels fédérés avec l'identificateur LDAPTDS.
  • L'exemple 2 est applicable au scénario dans lequel vous faites migrer le filtre de recherche (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) d'un référentiel LDAP Microsoft Active Directory LDAP autonome vers un référentiel LDAP de référentiels fédérés avec l'identificateur LDAPAD. Les attributs sAMAccountName et userPrincipalName ne sont pas définis dans des référentiels fédérés. Ces attributs doivent donc être mappés sur des propriétés de référentiel fédéré.

Procédure

  1. Ajoutez le référentiel LDAP à faire migrer vers la configuration de référentiels fédérés.

    Reportez-vous au tableau 1 de la section Avant de commencer de cette rubrique et suivez les étapes décrites dans la rubrique Configuration d'un seul référentiel LDAP (Lightweight Directory Access Protocol) dans une nouvelle configuration sous des référentiels fédérés. Ces étapes comprennent des liens vers d'autres procédures que vous devez effectuer, par exemple :

    • Ajout d'un référentiel externe dans une configuration de référentiels fédérés.
    • Configuration de types d'entités pris en charge dans une configuration de référentiels fédérés.
    • Configuration du protocole LDAP (Lightweight Directory Access Protocol) dans une configuration de référentiels fédérés.

    Une fois ces étapes exécutées, le référentiel LDAP que vous souhaitez faire migrer est configuré en une configuration de référentiel fédéré.

  2. Définissez les propriétés de connexion (le cas échéant).

    Les propriétés de connexion sont les noms de propriété utilisés pour se connecter à WebSphere Application Server. Vous pouvez spécifier plusieurs propriétés de connexion en utilisant un point-virgule (;) comme délimiteur. Les propriétés des référentiels fédérés couramment utilisées comme propriétés de connexion sont uid, cn, sn, givenName, mail, etc.

    Pour définir des propriétés de connexion dans la console d'administration, suivez les étapes de la rubrique Paramètres de configuration du référentiel du protocole LDAP (Lightweight Directory Access Protocol) et appliquez les paramètres de la section Propriétés de connexion.
    Exemple 1 : Dans la zone Propriétés de connexion, entrez cn.
    Exemple 2 : Dans la zone Propriétés de connexion, entrez uid;cn.

    Exécutez l'étape 3 pour mapper ces propriétés sur des attributs LDAP.

  3. Mappez la propriété de référentiel fédéré sur l'attribut LDAP (le cas échéant).
    Si l'attribut LDAP n'est pas une propriété de référentiel fédéré, la propriété de connexion que vous avez définie doit être mappée sur l'attribut LDAP.
    1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
    2. Sous Référentiel du compte utilisateur, sélectionnez Référentiels fédérés dans la zone Définitions des domaines disponibles et cliquez sur Configurer. Pour configurer un domaine spécifique dans un environnement comptant plusieurs domaines de sécurité, cliquez sur Domaines de sécurité > nom_domaine. Sous Attributs de sécurité, développez Domaine utilisateur et cliquez sur Personnalisation pour ce domaine. Sélectionnez le type de domaine Référentiels fédérés et cliquez sur Configurer.
    3. Sous Articles liés, cliquez sur Gestion des référentiels > ID_référentiel puis, sous Propriétés supplémentaires, cliquez sur le lien Attributs LDAP.
    4. S'il existe des mappages d'attribut, vous devez d'abord supprimer le mappage existant pour l'attribut LDAP, puis ajouter un nouveau mappage pour l'attribut. Sélectionnez la case à cocher en regard du nom d'attribut et cliquez sur Supprimer.
    5. Pour ajouter un mappage d'attribut, cliquez sur Ajouter et sélectionnez Pris en charge dans le menu déroulant. Entrez le nom d'attribut LDAP dans la zone Nom, le nom de la propriété de référentiel fédéré dans la zone Nom de la propriété et le type d'entité qui applique le mappage d'attribut dans la zone Types d'entité.
    Exemple 1 : Comme la propriété de référentiel fédéré cn est mappée implicitement sur l'attribut LDAP cn, aucun mappage supplémentaire n'est requis.
    Exemple 2 : Ici, le filtre de recherche inclut deux attributs LDAP, sAMAccountName et userPrincipalName.
    • Pour le type de serveur LDAP, Active Directory, l'attribut LDAP sAMAccountName est mappé par défaut sur la propriété de référentiel fédéré uid, comme indiqué dans la liste d'attributs du panneau d'attributs LDAP. De ce fait, vous n'avez pas besoin d'exécuter la commande addIdMgrLDAPAttr pour ajouter une configuration d'attribut pour sAMAccountName.
    • S'il existe un mappage d'attribut pour l'attribut LDAP userPrincipalName, supprimez l'attribut existant avant d'ajouter la nouvelle configuration.
      1. Sélectionnez la case à cocher en regard de userPrincalName et cliquez sur Supprimer.
      2. Cliquez sur Ajouter et sélectionnez Pris en charge dans le menu déroulant.
      3. Dans la zone Nom, entrez userPrincipalName.
      4. Dans la zone Nom de la propriété, entrez cn.
      5. Dans la zone Types d'entité, entrez PersonAccount.
  4. Définissez la classe d'objets pour le type d'entité (le cas échéant).
    Eviter les incidents Eviter les incidents: Avant d'exécuter cette étape, vérifiez le mappage en cours. Si le mappage de classe d'objets est déjà défini, sautez cette étape.gotcha
    Pour définir des propriétés de connexion dans la console d'administration, suivez les étapes de la rubrique Paramètres des types d'entités LDAP (Lightweight Directory Access Protocol) et appliquez les paramètres suivants de la section Classe d'objets :
    • Indiquez PersonAccount comme nom de type d'entité pour les filtres d'utilisateurs.
    • Indiquez Group comme nom de type d'entité pour les filtres de groupes.
    Exemple 1 : Dans la zone Type d'entité, entrez PersonAccount.

    Dans la zone Classes d'objets, entrez ePerson.

    Exemple 2 : Dans la zone Type d'entité, entrez PersonAccount.

    Dans la zone Classes d'objets, entrez user.

  5. Définissez le filtre de recherche pour le type d'entité (le cas échéant).

    Les référentiels fédérés effectuent la recherche en fonction du paramètre de classe d'objets. Pour modifier ce paramètre par défaut et utiliser une catégorie d'objets comme filtre, suivez les étapes de la rubrique Paramètres des types d'entités LDAP (Lightweight Directory Access Protocol) et appliquez les paramètres de la section Filtre de recherche.

    Exemple 1 : Comme la recherche est basée sur une classe d'objets, aucune configuration supplémentaire n'est requise.
    Exemple 2 : Dans la zone Filtre de recherche, entrez (objectcategory=user).
  6. Pour faire migrer des filtres de groupes, vous devez également configurer les paramètres de définition d'attribut de groupe.

    Les étapes de configuration des paramètres de définition d'attribut de groupe à l'aide de la console d'administration sont spécifiées dans la rubrique Recherche d'appartenances d'un utilisateur à un groupe dans un registre LDAP, sous la section Registre LDAP dans un registre de référentiels fédérés. Vous pouvez également utiliser les commandes addIdMgrLDAPGroupDynamicMemberAttr ou addIdMgrLDAPGroupMemberAttr décrites à la rubrique Groupe de commandes IdMgrRepositoryConfig pour l'objet AdminTask.

  7. Sauvegardez les modifications apportées à la configuration.
  8. Redémarrez le serveur d'applications.

Résultats

Une fois cette procédure terminée, les paramètres du référentiel LDAP sont configurés pour être utilisés au sein d'une configuration de référentiels fédérés.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_migrate_standaloneldap
Nom du fichier : twim_migrate_standaloneldap.html