Registres LDAP (Lightweight Directory Access Protocol) autonomes

Un registre LDAP (Lightweight Directory Access Protocol) autonome effectue l'authentification à l'aide d'une liaison LDAP.

La sécurité WebSphere Application Server assure et prend en charge l'implémentation des serveurs d'annuaires LDAP les plus courants, qui peuvent faire office de référentiels pour stocker les informations relatives aux utilisateurs et aux groupes. Les serveurs LDAP sont appelés par les processus du produit pour authentifier un utilisateur ou effectuer des tâches liées à la sécurité. Par exemple, les serveurs permettent d'extraire des informations sur les groupes ou les utilisateurs. Cette prise en charge est effectuée à l'aide de différents filtres d'utilisateurs et de groupes. Ces filtres ont des valeurs par défaut que vous pouvez adapter à vos besoins. La fonction LDAP personnalisée permet d'utiliser tout serveur LDAP ne figurant pas dans la liste des serveurs LDAP pris en charge par le produit, afin d'accéder à son registre d'utilisateurs à l'aide de filtres appropriés.

Remarque : La première création de profil configure WebSphere Application Server de telle sorte qu'il utilise une option de registre de sécurité de référentiels fédérés avec le registre de fichiers. Vous pouvez modifier cette configuration afin d'utiliser d'autres options, y compris le registre LDAP autonome. Au lieu d'utiliser l'option de registre LDAP autonome à la place de l'option de référentiels fédérés pour la configuration de référentiel de compte utilisateur, pensez à l'option de référentiels fédérés disponible pour la configuration LDAP. Les référentiels fédérés offrent une gamme étendue de fonctions, y compris la possibilité d'avoir un ou plusieurs registres d'utilisateurs. Ils prennent en charge la fédération d'un ou de plusieurs protocoles LDAP en plus des registres personnalisés et à base de fichiers. Ils incluent également des fonctions de reprise en ligne améliorées ainsi qu'un ensemble important de fonctions de gestion de membre (utilisateur et groupe). L'utilisation des référentiels fédérés est requise lorsque vous employez les nouvelles fonctions de gestion de membre dans WebSphere Portal 6.1 et versions ultérieures et dans Process Server 6.1 et versions ultérieures. Elle est également requise pour les référenceurs LDAP, ce qui est une exigence commune dans certains environnements serveur LDAP (tel Microsoft Active Directory).

Il est recommandé d'effectuer la migration des registres LDAP autonomes vers les référentiels fédérés. Si vous décidez d'utiliser WebSphere Portal 6.1 ou version ultérieure ou WebSphere Process Server 6.1 ou version ultérieure, vous devez avant d'effectuer les mises à niveau migrer vers les référentiels fédérés. Pour plus d'informations sur les référentiels fédérés et leurs fonctions, consultez la rubrique correspondante. Pour plus d'informations sur le mode de migration vers des référentiels fédérés, consultez la rubrique Migration d'un référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés.

Pour utiliser LDAP en tant que registre d'utilisateurs, vous devez connaître un nom d'administrateur défini dans le registre, l'hôte et le port du serveur, le nom distinctif de base et, si nécessaire, le nom distinctif et le mot de passe de liaison. Vous pouvez choisir n'importe quel utilisateur valide défini dans le registre, à condition qu'on puisse le rechercher et qu'il possède des privilèges d'administration. Tel n'est pas le cas pour certains serveurs LDAP, les utilisateurs administratifs sont alors inutilisables (par exemple, cn=root dans SecureWay). Dans la présente documentation, cet utilisateur est appelé indifféremment ID du serveur de sécurité WebSphere Application Server, ID serveur ou ID utilisateur du serveur. Un utilisateur correspondant à un ID serveur dispose de droits spéciaux pour appeler certaines méthodes internes protégées. En règle générale, l'ID utilisateur et le mot de passe sont utilisés pour se connecter à la console d'administration, une fois la sécurité activée. Vous pouvez vous connecter avec d'autres ID utilisateur s'ils possèdent des rôles d'administration.

Lorsque la sécurité est activée dans le logiciel, le nom d'utilisateur administratif principal et le mot de passe sont authentifiés avec le registre au cours du démarrage du logiciel. Si l'authentification échoue, le serveur ne démarre pas. Il est important de choisir un ID et un mot de passe qui n'arrivent pas à expiration ou qui ne sont pas changés trop souvent. Si l'ID utilisateur et le mot de passe du serveur doivent être redéfinis dans le registre, veillez à effectuer ces modifications lorsque tous les serveurs du produit sont en cours d'exécution.

Une fois les modifications effectuées dans le registre, suivez les étapes décrites dans Configuration des registres d'utilisateurs LDAP (Lightweight Directory Access Protocol). Modifiez l'ID, le mot de passe et autres informations de configuration, puis sauvegardez, arrêtez et redémarrez tous les serveurs afin que le nouvel ID et le nouveau mot de passe soient utilisés par le logiciel. En cas d'incidents lors du lancement du produit avec la sécurité activée, désactivez la sécurité avant de démarrer le serveur. Pour éviter ces incidents, vérifiez que les modifications de ce panneau sont validées dans le panneau Sécurité globale. Une fois le serveur démarré, vous pouvez modifier l'ID, le mot de passe et toute autres informations de configuration, puis activer la sécurité.

Vous pouvez utiliser la fonction LDAP (Lightweight Directory Access Protocol) personnalisée pour prendre en charge n'importe quel serveur LDAP en définissant la configuration appropriée. Toutefois, cette prise en charge ne s'applique pas aux serveurs LDAP personnalisés car il existe de nombreuses possibilités de configuration.

Les informations de mappage des utilisateurs et des groupes et des rôles de sécurité sont utilisées par le moteur d'autorisation configuré pour effectuer des décisions de contrôle d'accès.

[z/OS]Si vous configurez un registre LDAP, vous pouvez configurer l'un des mécanismes d'autorisation suivants :
  • Autorisation SAF (System Authorization Facility) à l'aide des profils EJBROLE ou GEJBROLE. SAF a priorité sur tous les autres mécanismes d'autorisation.
  • Tivoli Access Manager comme fournisseurJACC (Java™ Authorization Contract for Containers). Pour plus d'informations, voir Intégration de Tivoli Access Manager en tant que fournisseur JACC.
  • Les liaisons utilisateur-rôle, qui sont créées par l'assembleur d'applications ou l'administrateur de sécurité de WebSphere Application Server.
[z/OS]Le mécanisme SAF, qui correspond à l'utilisation des profils SAF EJBROLE pour affecter des utilisateurs et des groupes SAF à des rôles, peut être utilisé comme mécanisme d'autorisation de tous les registres d'utilisateurs. Si le mécanisme d'autorisation SAF est sélectionné dans la console d'administration :

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
Nom du fichier : csec_ldap.html