Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access Protocol)

Cette page permet de configurer les paramètres du registre d'utilisateurs LDAP lorsque des utilisateurs et des groupes se trouvent dans un annuaire LDAP externe.

Pour visualiser la page d'administration :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez sur la liste déroulante Définitions des domaines disponibles, sélectionnez Registre LDAP autonome, puis Configurer.
  3. Dans le menu Propriétés supplémentaires, cliquez sur Paramètres avancés de registres d'utilisateurs LDAP (Lightweight Directory Access Protocol).

Les valeurs par défaut pour tous les filtres d'utilisateurs et relatifs au groupe sont déjà indiquées dans les zones appropriées. Vous pouvez modifier ces valeurs en fonction de vos besoins. Ces valeurs par défaut dépendent du type de serveur LDAP sélectionné dans le panneau de paramètres Registre LDAP autonome. Si ce type est modifié, par exemple de Netscape en Secureway, les filtres par défaut sont automatiquement modifiés. Si les valeurs des filtres par défaut sont modifiées, le type du serveur LDAP devient Personnalisé pour indiquer que des filtres personnalisés sont utilisés. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez au panneau Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.

Remarque : La première création de profil configure WebSphere Application Server de telle sorte qu'il utilise une option de registre de sécurité de référentiels fédérés avec le registre de fichiers. Vous pouvez modifier cette configuration afin d'utiliser d'autres options, y compris le registre LDAP autonome. Au lieu d'utiliser l'option de registre LDAP autonome à la place de l'option de référentiels fédérés pour la configuration de référentiel de compte utilisateur, pensez à l'option de référentiels fédérés disponible pour la configuration LDAP. Les référentiels fédérés offrent une gamme étendue de fonctions, y compris la possibilité d'avoir un ou plusieurs registres d'utilisateurs. Ils prennent en charge la fédération d'un ou de plusieurs protocoles LDAP en plus des registres personnalisés et à base de fichiers. Ils incluent également des fonctions de reprise en ligne améliorées ainsi qu'un ensemble important de fonctions de gestion de membre (utilisateur et groupe). L'utilisation des référentiels fédérés est requise lorsque vous employez les nouvelles fonctions de gestion de membre dans WebSphere Portal 6.1 et versions ultérieures et dans Process Server 6.1 et versions ultérieures. Elle est également requise pour les référenceurs LDAP, ce qui est une exigence commune dans certains environnements serveur LDAP (tel Microsoft Active Directory).

Il est recommandé d'effectuer la migration des registres LDAP autonomes vers les référentiels fédérés. Si vous décidez d'utiliser WebSphere Portal 6.1 ou version ultérieure ou WebSphere Process Server 6.1 ou version ultérieure, vous devez avant d'effectuer les mises à niveau migrer vers les référentiels fédérés. Pour plus d'informations sur les référentiels fédérés et leurs fonctions, consultez la rubrique correspondante. Pour plus d'informations sur le mode de migration vers des référentiels fédérés, consultez la rubrique Migration d'un référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés.

Filtre d'utilisateurs

Indique le filtre d'utilisateurs LDAP qui recherche des utilisateurs dans le registre.

Cette option est généralement utilisée pour les affectations de rôle de sécurité aux utilisateurs et précise sur quelle propriété doit porter la recherche des utilisateurs dans le service d'annuaire. Par exemple, pour rechercher des utilisateurs en fonction de leur ID, indiquez (&(uid=%v)(objectclass=inetOrgPerson)). Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Information valeur
Type de données : String (chaîne)

Filtre de groupes

Indique le filtre de groupes LDAP qui recherche des groupes dans le registre d'utilisateurs.

Cette option est généralement utilisée pour les affectations de rôle de sécurité aux groupes et précise sur quelle propriété doit porter la recherche des groupes dans le service d'annuaire. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Information valeur
Type de données : String (chaîne)

Mappe d'ID utilisateur

Indique le filtre LDAP qui mappe le nom abrégé d'un utilisateur vers une entrée LDAP.

Indique les informations représentant les utilisateurs lorsque ces derniers s'affichent. Par exemple, pour afficher des entrées du type object class = inetOrgPerson par ID, indiquez inetOrgPerson:uid. Cette zone accepte plusieurs paires objectclass:property séparées par des points-virgules (;).

Information valeur
Type de données : String (chaîne)

Mappe d'ID de groupe

Indique le filtre LDAP qui mappe le nom abrégé d'un groupe vers une entrée LDAP.

Indique l'information représentant les groupes lorsque ces derniers apparaissent. Par exemple, pour afficher les groupes par leur nom, indiquez *:cn. Dans cet exemple, le caractère générique * permet de lancer une recherche sur toute classe d'objets. Cette zone accepte plusieurs paires objectclass:property, séparées par des points-virgules (;).

Information valeur
Type de données : String (chaîne)

Mappe d'ID membre de groupe

Indique le filtre LDAP qui identifie les relations entre les utilisateurs et les groupes.

Pour les types d'annuaire SecureWay et Domino, cette zone accepte plusieurs paires classeobjet:propriété délimitées par un point-virgule (;). Dans la paire objectclass:property, la valeur de la classe d'objets est identique à celle définie dans le filtre de groupe et la propriété correspond à l'attribut member. Si la valeur de la classe d'objets ne correspond pas à la classe d'objets du filtre de groupe, l'autorisation peut échouer si les groupes sont mappés à des rôles de sécurité. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Pour IBM® Directory Server, Sun ONE et Active Directory, cette zone accepte plusieurs paires group attribute:member attribute délimitées par un point-virgule (;). Ces paires sont utilisées pour rechercher les appartenances d'un utilisateur à des groupes en énumérant tous les attributs de groupe d'un utilisateur donné. Par exemple, la paire d'attributs memberof:member est utilisée par Active Directory, et ibm-allGroup:member est utilisée par IBM Directory Server. Cette zone indique quelle propriété d'une classe d'objets détient la liste des membres appartenant au groupe représenté par cette classe. Pour les serveurs d'annuaire pris en charge, voir Services d'annuaire pris en charge.

Information valeur
Type de données : String (chaîne)

Filtre utilisateur Kerberos

Spécifie la valeur du filtre utilisateur Kerberos. Cette valeur peut être modifiée lorsque Kerberos est actif et configuré comme l'une des méthodes d'authentification favorites.

Information valeur
Type de données : String (chaîne)

Mode de mappage des certificats

Indique si les certificats X.509 doivent ou non être mappés dans un répertoire LDAP par EXACT_DN ou CERTIFICATE_FILTER. Indiquez CERTIFICATE_FILTER pour utiliser le filtre de certificat indiqué pour le mappage.

Information valeur
Type de données : String (chaîne)

Filtre de certificats

Indique la propriété de mappage de certificat de filtre pour le filtre LDAP. Le filtre est utilisé pour mapper des attributs dans le certificat de client pour les entrées du registre LDAP.

Si plusieurs entrées LDAP correspondent à la spécification du filtre au cours de l'exécution, l'authentification échoue car la correspondance est alors considérée comme ambiguë. La syntaxe ou structure de ce filtre est : (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). The filter specification contains an LDAP attribute that depends on the schema that your LDAP server is configured to use. The filter specification also contains one of the public attributes in your client certificate. It must begin with a dollar sign ($) and open bracket ({) and end with a close bracket (}). You can use the following certificate attribute values and the case of the strings is important:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    <xx> est remplacé par les caractères représentant un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de l'émetteur (Issuer Common Name).

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    , où <xx> est remplacé par les caractères qui représentent un composant valide du nom distinctif du sujet. Par exemple, vous pouvez utiliser ${SubjectCN} pour le nom commun du sujet.

  • ${Version}
Eviter les incidents Eviter les incidents: Les noms alternatifs de sujet (SAN) ne sont pas pris en charge comme éléments de filtre de certificat.gotcha
Information valeur
Type de données : String (chaîne)

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_advldap
Nom du fichier : usec_advldap.html