Registres LDAP (Lightweight Directory Access Protocol) autonomes
Un registre LDAP (Lightweight Directory Access Protocol) autonome effectue l'authentification à l'aide d'une liaison LDAP.
La sécurité WebSphere Application Server assure et prend en charge l'implémentation des serveurs d'annuaires LDAP les plus courants, qui peuvent faire office de référentiels pour stocker les informations relatives aux utilisateurs et aux groupes. Les serveurs LDAP sont appelés par les processus du produit pour authentifier un utilisateur ou effectuer des tâches liées à la sécurité. Par exemple, les serveurs permettent d'extraire des informations sur les groupes ou les utilisateurs. Cette prise en charge est effectuée à l'aide de différents filtres d'utilisateurs et de groupes. Ces filtres ont des valeurs par défaut que vous pouvez adapter à vos besoins. La fonction LDAP personnalisée permet d'utiliser tout serveur LDAP ne figurant pas dans la liste des serveurs LDAP pris en charge par le produit, afin d'accéder à son registre d'utilisateurs à l'aide de filtres appropriés.
Il est recommandé d'effectuer la migration des registres LDAP autonomes vers les référentiels fédérés. Si vous décidez d'utiliser WebSphere Portal 6.1 ou version ultérieure ou WebSphere Process Server 6.1 ou version ultérieure, vous devez avant d'effectuer les mises à niveau migrer vers les référentiels fédérés. Pour plus d'informations sur les référentiels fédérés et leurs fonctions, consultez la rubrique correspondante. Pour plus d'informations sur le mode de migration vers des référentiels fédérés, consultez la rubrique Migration d'un référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés.
Pour utiliser LDAP en tant que registre d'utilisateurs, vous devez connaître un nom d'administrateur défini dans le registre, l'hôte et le port du serveur, le nom distinctif de base et, si nécessaire, le nom distinctif et le mot de passe de liaison. Vous pouvez choisir n'importe quel utilisateur valide défini dans le registre, à condition qu'on puisse le rechercher et qu'il possède des privilèges d'administration. Tel n'est pas le cas pour certains serveurs LDAP, les utilisateurs administratifs sont alors inutilisables (par exemple, cn=root dans SecureWay). Dans la présente documentation, cet utilisateur est appelé indifféremment ID du serveur de sécurité WebSphere Application Server, ID serveur ou ID utilisateur du serveur. Un utilisateur correspondant à un ID serveur dispose de droits spéciaux pour appeler certaines méthodes internes protégées. En règle générale, l'ID utilisateur et le mot de passe sont utilisés pour se connecter à la console d'administration, une fois la sécurité activée. Vous pouvez vous connecter avec d'autres ID utilisateur s'ils possèdent des rôles d'administration.
Lorsque la sécurité est activée dans le logiciel, le nom d'utilisateur administratif principal et le mot de passe sont authentifiés avec le registre au cours du démarrage du logiciel. Si l'authentification échoue, le serveur ne démarre pas. Il est important de choisir un ID et un mot de passe qui n'arrivent pas à expiration ou qui ne sont pas changés trop souvent. Si l'ID utilisateur et le mot de passe du serveur doivent être redéfinis dans le registre, veillez à effectuer ces modifications lorsque tous les serveurs du produit sont en cours d'exécution.
Une fois les modifications effectuées dans le registre, suivez les étapes décrites dans Configuration des registres d'utilisateurs LDAP (Lightweight Directory Access Protocol). Modifiez l'ID, le mot de passe et autres informations de configuration, puis sauvegardez, arrêtez et redémarrez tous les serveurs afin que le nouvel ID et le nouveau mot de passe soient utilisés par le logiciel. En cas d'incidents lors du lancement du produit avec la sécurité activée, désactivez la sécurité avant de démarrer le serveur. Pour éviter ces incidents, vérifiez que les modifications de ce panneau sont validées dans le panneau Sécurité globale. Une fois le serveur démarré, vous pouvez modifier l'ID, le mot de passe et toute autres informations de configuration, puis activer la sécurité.
Vous pouvez utiliser la fonction LDAP (Lightweight Directory Access Protocol) personnalisée pour prendre en charge n'importe quel serveur LDAP en définissant la configuration appropriée. Toutefois, cette prise en charge ne s'applique pas aux serveurs LDAP personnalisés car il existe de nombreuses possibilités de configuration.
Les informations de mappage des utilisateurs et des groupes et des rôles de sécurité sont utilisées par le moteur d'autorisation configuré pour effectuer des décisions de contrôle d'accès.
![[z/OS]](../images/ngzos.gif)
- Autorisation SAF (System Authorization Facility) à l'aide des profils EJBROLE ou GEJBROLE. SAF a priorité sur tous les autres mécanismes d'autorisation.
- Tivoli Access Manager comme fournisseurJACC (Java™ Authorization Contract for Containers). Pour plus d'informations, voir Intégration de Tivoli Access Manager en tant que fournisseur JACC.
- Les liaisons utilisateur-rôle, qui sont créées par l'assembleur d'applications ou l'administrateur de sécurité de WebSphere Application Server.
![[z/OS]](../images/ngzos.gif)
- Il a priorité sur tous les autres mécanismes d'autorisation, tels que Tivoli Access Manager.
- Vous devez configurer et installer le module de mappage des connexions JAAS (Java Authentication and Authorization Service) qui mappe l'identité du registre d'utilisateurs LDAP ou personnalisé à un ID utilisateur SAF. Pour plus d'informations, voir Installation et configuration d'un module de mappage SAF (System Authorization Facility) pour WebSphere Application Server.