Utilisez iSeries Navigator pour configurer le mappage EIM (Enterprise Identity Mapping)
à utiliser avec la fabrique de connexions de jetons d'identité.
Avant de commencer
Cette procédure présuppose que votre contrôleur EIM, qui est votre serveur d'annuaire LDAP (Lightweight Directory Access Protocol), soit votre serveur d'annuaire et réside sur le serveur iSeries à configurer pour EIM. Pour plus d'informations sur EIM, voir Mappage EIM (Enterprise Identity Mapping).
Pour effectuer cette tâche, vous devez disposer du nom distinctif et du mot de passe de l'administrateur de serveur LDAP.
Procédure
- La fabrique de connexions de jetons d'identité requiert la configuration d'un
domaine EIM.
Créez un domaine dans EIM :
Remarque : L'ordre des étapes de cette procédure peut varier en fonction de la configuration du poste. LDAP doit déjà être configuré et le service d'authentification réseau ne doit pas l'être.
- Assurez-vous que le serveur LDAP est démarré. Vous pouvez vérifier le nom distinctif et le mot de passe administrateur du serveur LDAP. Notez toutefois que le serveur LDAP est arrêté par l'assistant ultérieurement.
- In iSeries Navigator, expand server_name >
Network > Enterprise Identity Mapping, where server_name is
the name of your iSeries server.
- Cliquez sur Enterprise Identity Mapping.
- Cliquez avec le bouton droit de la souris sur Configuration et sélectionnez Configure pour
démarrer l'assistant de configuration EIM.
Remarque : Cette option est appelée Reconfigure si EIM a préalablement été configuré sur le système.
- Dans la page d'accueil de l'assistant, sélectionnez Create and join
a new domain.
- Cliquez sur Suivant.
- Dans la page Specify EIM Domain Location, sélectionnez On the local
Directory server, puis cliquez sur Next.
- Si le service d'authentification réseau n'a pas été configuré
sur le système pour définir un environnement de connexion unique, la page Configure Network Authentication Service s'affiche. Le service d'authentification réseau n'est pas requis pour la fabrique de connexions de jetons d'identité EIM.
Sélectionnez No, puis
cliquez sur Next.
- Dans la page Specify User for Connection, indiquez le nom distinctif et le mot de passe de l'administrateur LDAP afin que l'assistant dispose des droits suffisants pour administrer le domaine EIM et les objets qu'il contient. Cliquez sur Suivant.
Remarque : Si vous n'avez pas configuré le serveur d'annuaire local avant d'utiliser
l'assistant de configuration EIM, la page Configure Directory Server s'affiche à la place. Utilisez cette page pour définir le nom distinctif et le mot de passe de l'administrateur LDAP et passez à l'étape suivante de la procédure. Le nom distinctif LDAP identifie l'administrateur LDAP pour le serveur d'annuaire. L'assistant de configuration EIM crée ce nom distinctif d'administrateur LDAP et l'utilise pour configurer le serveur d'annuaire comme contrôleur du domaine que vous créez.
- Dans la page Specify Domain, indiquez le nom du domaine EIM, puis cliquez sur Next.
- Dans la page Specify Parent DN for Domain, sélectionnez Yes pour
attribuer un nom distinctif au domaine que vous créez, ou sélectionnez No pour que les données
EIM soient stockées à un emplacement de répertoire avec un suffixe et que leur nom reflète le nom de domaine
EIM. Cliquez sur Suivant.
- Un message s'affiche pour indiquer d'arrêter le serveur LDAP. Cliquez sur Yes pour continuer.
- Dans la page Registry Information, sélectionnez Local OS/400, puis Suivant.
- Dans la page Specify EIM System User, sélectionnez Distinguished
name and password comme type d'utilisateur, indiquez le nom distinctif et le mot de passe de l'administrateur de serveur d'annuaire et, éventuellement, vérifiez le nom distinctif et le mot de passe. Cliquez sur Suivant.
- Dans le panneau récapitulatif (Summary), vérifiez les informations de configuration que vous avez fournies. Si toutes les informations sont correctes, cliquez sur Finish.
- Ajoutez le domaine dans la gestion des domaines :
- In the iSeries Navigator, expand system_name>
Network > Enterprise Identity Mapping > Domain Management.
- Cliquez avec le bouton droit de la souris sur Domain Management, puis sélectionnez Add domain.
- Dans la boîte de dialogue Add Domain, indiquez le domaine que vous avez créé précédemment et cliquez sur
OK.
- Créez une définition de registre d'utilisateur source dans EIM.
La fabrique de connexions de jetons d'identité requiert une entrée de définition de registre d'utilisateurs source dans EIM. La définition de registre d'utilisateur source représente le registre que WebSphere Application
Server utilise pour l'authentification. Ce registre peut être un
registre de système d'exploitation local ou un registre LDAP.
- In iSeries Navigator, expand system_name >
Network > Enterprise Identity Mapping > Domain Management > domain_name>
User Registries.
- Si le mot de passe du serveur LDAP vous est demandé, fournissez-le et cliquez sur OK.
- Cliquez avec le bouton droit de la souris sur User Registries et sélectionnez Add Registry > System pour démarrer l'assistant de configuration permettant d'ajouter le registre dans le domaine.
Indiquez le nom et le type de registre. Si votre serveur d'applications est hébergé sur un serveur iSeries et configuré pour utiliser le registre d'utilisateurs du système d'exploitation local, sélectionnez OS/400 comme type de registre utilisateur EIM. Si le serveur d'applications est configuré pour utiliser le registre d'utilisateurs LDAP, entrez LDAP - nom abrégé comme
type de registre EIM.
Remarque : Pour les versions antérieures à IBM i V5R4, plutôt que d'utiliser LDAP - nom abregé utilisez 1.3.18.02.33.14-caseIgnore.
La valeur 1.3.18.02.33.14-caseIgnore correspond au format
IdentificateurObjet-normalisation du type de registre utilisateur et les principaux
sont identifiés par l'attribut de nom abrégé LDAP. L'assistant ne gère pas le nom descriptif pour ce type de registre.
- Cliquez sur OK.
- Créez un identificateur d'utilisateur dans EIM
La fabrique de connexions de jetons d'identité requiert une entrée d'identificateur d'utilisateur, ce qui équivaut à un identificateur EIM. Dans EIM, l'entrée d'identificateur d'utilisateur représente l'utilisateur de l'application.
- In iSeries Navigator, expand system >
Network > Enterprise Identity Mapping > Domain Management > domain >
Identifiers.
- Cliquez avec le bouton droit de la souris sur Identifiers et sélectionnez New Identifier.
- Entrez un nom d'identificateur, votre nom entier par exemple, puis cliquez sur OK.
- Créez une association cible dans EIM pour l'identificateur d'utilisateur.
L'association cible représente le profil utilisateur sur le serveur iSeries cible pour l'identificateur créé précédemment.
- In iSeries Navigator, expand system >
Network > Enterprise Identity Mapping > Domain Management > domain >
Identifiers.
- Cliquez deux fois sur Application Identifier pour l'utilisateur créé précédemment.
- Cliquez sur l'onglet Associations.
- Cliquez sur Ajouter.
- Dans la zone Utilisateur, indiquez le profil utilisateur IBM i pour l'identificateur EIM,
puis cliquez sur OK.
- Cliquez sur OK pour sauvegarder l'association.
- Créez une association source dans EIM pour l'identificateur utilisateur.
L''association source est utilisée pour l'authentification auprès de WebSphere Application
Server.
- In iSeries Navigator, expand system >
Network > Enterprise Identity Mapping > Domain Management > domain >
Identifiers.
- Cliquez deux fois sur Application Identifier pour l'utilisateur créé précédemment.
- Cliquez sur l'onglet Associations.
- Cliquez sur Ajouter.
- Cliquez sur Browse et sélectionnez le registre d'utilisateurs WebSphere Application Server.
- Spécifiez votre ID utilisateur WebSphere Application Server, par exemple mon_id.
- Sélectionnez Source.
- Cliquez sur OK pour ajouter la nouvelle association.
- Cliquez sur OK pour sauvegarder l'association.
- Facultatif : Testez la connexion au contrôleur de domaine EIM.
Utilisez la commande idsldapsearchpour tester la connexion au contrôleur
de domaine EIM. Par exemple, si le serveur LDAP est situé sur l'hôte mon_serveur, si le nom de domaine EIM est mon_domaine_EIM et si le registre d'utilisateurs source est registre_WAS, la procédure de test de la connexion est la suivante :
- Connectez-vous au serveur iSeries qui héberge votre profil WebSphere Application Server.
- A partir d'une ligne de commande CL, entrez QSH, puis appuyez sur Entrée.
- Exécutez ensuite la commande suivante :
idsldapsearch -h my_server -p 389 -D cn=administrator
-w secret -b "ibm-eimDomainName=My_EIM_Domain"
"ibm-eimRegistryName=WAS_Registry"
où :
- mon_serveur est le nom du serveur hôte du serveur LDAP.
- 389 est le port utilisé par le serveur LDAP.
- cn=administrator est le nom distinctif LDAP de l'administrateur LDAP.
- secret est le mot de passe de l'administrateur LDAP.
- ibm-eimDomainName=mon_domaine_EIM est le nom distinctif LDAP de l'entrée de nom de domaine EIM.
La commande suivante est répartie sur plusieurs lignes à des fins de présentation uniquement. Entrez la commande sur une seule ligne.
Dans cet exemple,
le nom parent de domaine EIM existe. Si un nom de parent de domaine EIM existe (par exemple, dc=mon_serveur,dc=ibm,dc=com, le nom distinctif LDAP est ibm-eimDomainName=mon_domaine_EIM,dc=mon_serveur,dc=ibm,dc=com.
Résultats
Le résultat attendu est similaire à l'exemple suivant :
ibm-eimRegistryName=WAS Registry,cn=Registries,ibm-eimdomainname=My_EIM_Domain
objectclass=top
objectclass=ibm-eimRegistry
objectclass=ibm-eimSystemRegistry
ibm-eimRegistryName=registre_WAS
ibm-eimRegistryType=1.3.18.0.2.33.9-caseIgnore
description=Exemple de registre pour WebSphere Application Server