Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP

Des informations importantes sur les serveurs d'annuaire pris en charge, tels que les serveurs LDAP (Lightweight Directory Access Protocol) dans WebSphere Application Server sont fournies.

Avant de commencer

Les forêts Microsoft Active Directory ne sont pas prises en charge avec le registre LDAP autonome. Le référentiel FRR (Federated Repository Registry), s'il est configuré pour utiliser un registre LDAP Active Directory, prend en charge l'utilisation des forêts.

Pourquoi et quand exécuter cette tâche

Il est probable que d'autres serveurs LDAP respectent la spécification LDAP. Mais le support est limité à ces serveurs d'annuaire spécifiques. Vous pouvez utiliser un autre serveur d'annuaire en sélectionnant le type Répertoire personnalisé dans la liste et en entrant les filtres requis pour ce répertoire.

Pour améliorer les performances des recherches LDAP, les filtres par défaut d'IBM® Tivoli Directory Server, de Sun ONE and d'Active Directory sont définis de sorte que lorsque vous recherchez un utilisateur, le résultat contienne toutes les informations appropriées sur l'utilisateur (ID utilisateur, groupes, etc.). Par conséquent, le produit n'appelle pas le serveur LDAP plusieurs fois. Cette définition est possible uniquement dans ces types d'annuaire qui prennent en charge les recherches dans lesquelles l'intégralité des informations relatives à un utilisateur sont obtenues.

Si vous utilisez IBM Directory Server, sélectionnez l'option Ignorer maj/min pour l'autorisation. Cette option est nécessaire car la casse des informations sur le groupe obtenues à partir des attributs d'objet de l'utilisateur est différente de celle des informations sur les groupes obtenue directement. Pour que l'autorisation fonctionne dans ce cas, vérifiez si l'utilisation des majuscules et des minuscules est respectée et vérifiez la valeur à affecter à l'option Ignorer maj/min pour l'autorisation.

[z/OS]LDAP Security Server pour la plateforme z/OS est pris en charge lorsque le système dorsal TDBM (Technical Database Management) DB2 est utilisé. Utilisez les filtres de SecureWay Directory Server pour effectuer la connexion à LDAP Security Server pour la plateforme z/OS.

  • [IBM i]Utilisation de Directory Services comme serveur LDAP

    La prise en charge des groupes contenant d'autres groupes ou des groupes imbriqués dépend des versions spécifiques de WebSphere Application Server et LDAP. Pour plus d'informations, reportez-vous à la rubrique Prise en charge des groupes dynamiques et des groupes imbriqués pour LDAP.

  • Utilisation d'IBM Tivoli Directory Server comme serveur LDAP

    [AIX Solaris HP-UX Linux Windows][IBM i] Pour utiliser IBM Tivoli Directory Server, anciennement IBM Directory Server, sélectionnez IBM Tivoli Directory Server comme type d'annuaire.

    [z/OS]Vous pouvez sélectionner le type d'annuaire IBM Tivoli Directory Server ou SecureWay pour IBM Directory Server.

    La différence entre ces deux groupes réside dans la recherche d'appartenance à un groupe. Il est recommandé d'utiliser IBM Tivoli Directory Server pour des performances optimales lors de l'exécution. Dans IBM Tivoli Directory Server, l'appartenance à un groupe est un attribut opérationnel. Avec cet attribut, la consultation des appartenances à des groupes est effectuée en énumérant l'attribut ibm-allGroups de l'entrée. Toutes les appartenances à des groupes et notamment les groupes statiques, les groupes dynamiques et les groupes imbriqués, peuvent être renvoyées à l'aide de l'attribut ibm-allGroups.

    WebSphere Application Server prend en charge les groupes dynamiques, les groupes imbriqués et les groupes statiques dans IBM Tivoli Directory Server à l'aide de l'attribut ibm-allGroups. Pour utiliser cet attribut dans une application prenant en charge les autorisations de sécurité, respectez la distinction minuscules/majuscules lors des recherches pour que les valeurs d'attribut renvoyées par ibm-allGroups soient toutes en majuscules.

    Important : Il est recommandé de ne pas installer IBM Tivoli Directory Server version 6.0 sur la machine sur laquelle est installé Version 9.0. Vous ne pouvez pas utiliser Version 9.0 comme console d'administration pour IBM Tivoli Directory Server. Si IBM Tivoli Directory Server version 6.0 et Version 9.0 sont installés sur la même machine, des conflits de ports peuvent survenir.

    Si vous devez installer IBM Tivoli Directory Server version 6.0 et Version 9.0 sur la même machine, prenez en compte les éléments suivants :

    • During the IBM Tivoli Directory Server installation process, you must select the Web Administration tool Version 5.1.1.
    • Installez Version 9.0.
    • Lorsque vous installez Version 9.0, modifiez le numéro de port pour le serveur d'applications.
    • Il pourra être nécessaire d'ajuster les variables d'environnement WebSphere Application Server de la Version 9.0 for WAS_HOME et WAS_INSTALL_ROOT (ou APP_SERVER_ROOT pour IBM i). To change the variables using the administrative console, click Environment > WebSphere Variables.
  • Utilisation d'un serveur Lotus Domino Enterprise comme serveur LDAP
    Si vous sélectionnez le serveur Lotus Domino Enterprise, version 6.5.4 ou version 7.0, et que l'attribut shortname n'est pas défini dans le schéma, vous pouvez effectuer l'une des opérations suivantes :
    • Modifiez le schéma afin d'ajouter l'attribut shortname.
    • Modifiez le filtre de mappe d'ID utilisateur afin de remplacer le nom abrégé par n'importe quel autre attribut défini (UID de préférence). Par exemple, remplacez person:shortname par person:uid.
    Le filtre de mappe des ID utilisateur a été modifié afin que l'attribut uid soit utilisé à la place de l'attribut shortname car la version actuelle de Lotus Domino ne crée pas par défaut l'attribut shortname. Si vous voulez utiliser l'attribut shortname, définissez-le dans le schéma et modifiez le filtre de mappe des ID utilisateur.

    Mappe des ID utilisateur :    person:shortname

  • Utilisation du serveur Sun ONE Directory Server comme serveur LDAP
    Vous pouvez sélectionner Sun ONE Directory Server pour le système Sun ONE Directory Server. Lorsque vous créez un groupe dans Sun ONE Directory Server, la classe d'objet par défaut est groupOfUniqueName. Pour améliorer les performances, WebSphere Application Server utilise l'objet User pour rechercher l'appartenance à un groupe d'utilisateurs à partir de l'attribut nsRole. Créez le groupe à partir du rôle. Si vous voulez utiliser l'attribut groupOfUniqueName pour rechercher des groupes, indiquez votre propre paramètre de filtre. Les rôles unifient les entrées. Les rôles ont été conçus pour être plus efficaces et plus faciles d'utilisation pour les applications. Par exemple, une application peut rechercher le rôle d'une entrée en énumérant tous les rôles d'une entrée donnée, au lieu de sélectionner un groupe et d'effectuer une recherche dans la liste des membres. Lors de l'utilisation de rôles, vous pouvez créer un groupe à l'aide d'un :
    • rôle géré,
    • rôle filtré,
    • rôle imbriqué.
    Tous ces rôles peuvent être déterminés par l'attribut nsRole.
  • Utilisation du serveur Microsoft Active Directory comme serveur LDAP

    Pour utiliser Microsoft Active Directory comme serveur LDAP pour l'authentification avec WebSphere Application Server, vous devez suivre une procédure spécifique. Par défaut, Microsoft Active Directory ne permet pas les requêtes LDAP anonymes. Pour créer des requêtes LDAP ou pour parcourir le répertoire, un client LDAP doit se lier au serveur LDAP à l'aide du nom distinctif (DN) d'un compte disposant du droit permettant de rechercher et le lire les valeurs des attributs LDAP, telles les informations de groupe et d'utilisateur requises par le serveur d'applications. La recherche d'appartenance à un groupe dans Active Directory s'effectue en énumérant l'attribut memberof d'une entrée utilisateur donnée et non en parcourant la liste des membres de chaque groupe. Si vous modifiez le comportement par défaut afin de parcourir chaque groupe, vous pouvez modifier la zone Mappe d'ID de membre de groupe de sorte qu'elle prenne la valeur group:member au lieu de memberof:member.

Les étapes suivantes décrivent comment configurer Microsoft Active Directory comme serveur LDAP.

Procédure

  1. Déterminez le nom distinctif complet et le mot de passe d'un compte dans le groupe administrateurs.
    [AIX Solaris HP-UX Linux Windows][IBM i]Par exemple, si l'administrateur d'Active Directory crée un compte dans le dossier Utilisateurs du panneau de configuration des utilisateurs et des ordinateurs Windows et que le domaine DNS est ibm.com, la structure du nom distinctif résultant est la suivante :
    cn=<adminUsername>, cn=users, dc=ibm, 
    dc=com 
  2. Déterminez le nom abrégé et le mot de passe d'un compte dans Microsoft Active Directory.
  3. Utilisez la console d'administration de WebSphere Application Server pour configurer les informations requises pour utiliser Microsoft Active Directory.
    1. Cliquez sur Sécurité > Sécurité globale.
    2. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
    3. Configurez LDAP avec Active Directory comme type de serveur LDAP. En fonction des informations déterminées lors des étapes précédentes, vous pouvez indiquer les valeurs suivantes dans le panneau Paramètres LDAP :
      Nom de l'utilisateur administratif primaire
      Indiquez le nom d'un utilisateur disposant de privilèges d'administration défini dans le registre. Ce nom d'utilisateur permet d'accéder à la console d'administration ou est utilisé par wsadmin.
      Type
      Indiquez Active Directory.
      Hôte
      Indiquez le nom DNS (Domain Name Service) de la machine qui exécute Microsoft Active Directory.
      Nom distinctif de base
      Indiquez les composants du nom distinctif du compte sélectionné lors de la première étape. Par exemple : dc=ibm, dc=com
      Nom distinctif de liaison
      Indiquez le nom distinctif complet du compte sélectionné lors de la première étape. Par exemple : cn=adminUsername, cn=users, dc=ibm, dc=com
      Mot de passe de liaison
      Indiquez le mot de passe du compte sélectionné lors de la première étape.
    4. Cliquez sur OK et sur Sauvegarder pour enregistrer les modifications apportées à la configuration maîtresse.
  4. Cliquez sur Sécurité > Sécurité globale.
  5. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
  6. Sélectionnez l'option Identité de serveur généré automatiquement ou Identité de serveur stockée dans un référentiel. Si vous sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez les informations suivantes :
    ID utilisateur ou administratif sur un noeud de la version 6.0.x
    Indiquez le nom abrégé du compte sélectionné lors de la seconde étape.
    Mot de passe administrateur
    Indiquez le mot de passe du compte sélectionné lors de la seconde étape.
  7. Facultatif : Définissez ObjectCategory comme filtre dans la zone Mappe des ID de membre de groupe pour améliorer les performances LDAP.
    1. Dans le menu Propriétés supplémentaires, cliquez sur Paramètres avancés de registres d'utilisateurs LDAP (Lightweight Directory Access Protocol).
    2. Ajoutez ;objectCategory:group à la fin de la zone Mappe des ID de membre de groupe.
  8. Cliquez sur OK et sur Sauvegarder pour enregistrer les modifications apportées à la configuration maîtresse.
  9. Arrêtez puis redémarrez le serveur d'administration pour que les modifications soient appliquées.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tmsad
Nom du fichier : tsec_tmsad.html