Configuration du protocole LDAP (Lightweight Directory Access Protocol) dans une configuration de référentiel fédéré

Procédez comme suit pour configurer les paramètres LDAP (Lightweight Directory Access Protocol) dans une configuration de référentiel fédéré.

Pourquoi et quand exécuter cette tâche

Maintenant vous visualisez la page de configuration du référentiel LDAP sur la console d'administration.

Procédure

  1. Entrez un identificateur unique pour le référentiel dans la zone Identificateur de référentiel. Il identifie le référentiel de façon unique dans la cellule, par exemple : LDAP1.
  2. Sélectionnez le type de serveur LDAP utilisé dans la liste Type d'annuaire. Le type de serveur LDAP détermine les filtres par défaut appliqués par WebSphere Application Server.

    Les utilisateurs IBM® Tivoli Directory Server peuvent sélectionner IBM Tivoli Directory Server ou SecureWay comme type de répertoire. Le type de répertoire IBM Tivoli Directory Server permet de meilleures performances. Pour une liste de serveurs LDAP pris en charge, voir Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP.

  3. Entrez le nom d'hôte complet du serveur LDAP primaire dans la zone Nom d'hôte primaire. Vous pouvez entrer l'adresse IP ou le nom DNS (système de nom de domaine).
  4. Entrez le port du serveur d'annuaire LDAP dans la zone Port. Le nom d'hôte et le numéro de port représentent le domaine du serveur LDAP dans la cellule de noeuds de version mixte. Si des serveurs associés à des cellules différentes communiquent entre eux à l'aide de jetons LTPA (Lightweight Third Party Authentication), ces domaines doivent être parfaitement identiques dans toutes les cellules.

    La valeur par défaut est 389 et ne correspond pas à une connexion SSL (Secure Sockets Layer). Utilisez le port 636 pour une connexion SSL (Secure Sockets Layer). Pour certains serveurs LDAP, vous pouvez spécifier un autre port pour une connexion SSL ou non SSL. Si vous ne savez pas quel port utiliser, contactez l'administrateur de serveur LDAP.

    Si plusieurs serveurs WebSphere Application Servers sont installés et configurés afin d'être exécutés dans le même domaine SSO(single sign-on domain) ou que WebSphere Application Server interagit avec une version précédente de WebSphere Application Server, il est alors important que le numéro de port corresponde à toutes les configurations. Par exemple, si le port LDAP est explicitement indiqué avec la valeur 389 dans une configuration de version 5.x ou 6.0.x et que WebSphere Application Server version 6.1 est exécuté conjointement à un serveur de la version 5.x ou 6.0.x, vérifiez alors que le port 389 est indiqué explicitement pour le serveur de la version 6.1.

  5. Facultatif : Entrez le nom d'hôte du serveur de basculement LDAP dans la zone Nom d'hôte de basculement. Vous pouvez indiquer un serveur d'annuaire secondaire à utiliser si le serveur d'annuaire principal n'est plus disponible. Après avoir basculé vers un serveur d'annuaire secondaire, le protocole LDAP tente de se reconnecter au serveur d'annuaire primaire toutes les 15 minutes.
  6. Facultatif : Entrez le port du serveur LDAP de basculement dans la zone Port et cliquez sur Ajouter. La valeur par défaut est 389 et ne correspond pas à une connexion SSL (Secure Sockets Layer). Utilisez le port 636 pour une connexion SSL (Secure Sockets Layer). Pour certains serveurs LDAP, vous pouvez spécifier un autre port pour une connexion SSL ou non SSL. Si vous ne savez pas quel port utiliser, contactez l'administrateur de serveur LDAP.
  7. Facultatif : Sélectionnez le type de référenceur. Un référenceur est une entité utilisée pour rediriger une requête client vers un autre serveur LDAP. Il contient les noms et les emplacements d'autres objets. Il est envoyé par le serveur pour indiquer que les informations demandées par le client se trouvent à un autre emplacement, éventuellement sur un ou plusieurs autres serveurs. La valeur par défaut est ignorée.
    Ignorer
    Les référenceurs sont ignorés.
    Suivre
    Les référenceurs sont suivis automatiquement.
  8. Facultatif : Indique le type de support pour le suivi des modifications du référentiel. Le gestionnaire de profil se rapporte à cette valeur avant de transmettre la demande à l'adaptateur correspondant. S'il n'existe aucune valeur, ce référentiel n'est pas appelé pour extraire les entités modifiées.
    Aucune
    Indique qu'aucun support de suivi des modifications n'est disponible pour ce référentiel.
    natif
    Indique que le mécanisme de suivi des modifications natif du référentiel est utilisé par le gestionnaire de membre virtuel pour le renvoi des entités modifiées.
  9. Facultatif : Indiquez les paires de valeurs et le nom arbitraires des données comme propriétés personnalisées. Le nom est une clé de propriété et la valeur est une chaîne de valeurs pouvant être utilisés pour définir les propriétés de configuration internes du système. La définition d'une nouvelle propriété permet de configurer un paramètre en plus des paramètres disponibles dans la console d'administration.
  10. Facultatif : Entrez le nom distinctif de liaison dans la zone Nom distinctif de liaison, par exemple, cn=root. Ce nom est obligatoire si les liaisons anonymes ne sont pas possibles sur le serveur LDAP pour obtenir des informations sur les utilisateurs et les groupes ou pour les opérations d'écriture. Dans la plupart des cas, les noms distinctifs et les mots de passe de connexion sont nécessaires. Toutefois, lorsqu'une liaison anonyme peut satisfaire toutes les fonctions requises, le nom distinctif et le mot de passe de liaison ne sont pas nécessaires. Si le serveur LDAP est configuré pour utiliser des liaisons anonymes, n'indiquez rien dans cette zone. Si aucun nom n'est spécifié ici, la liaison sera anonyme.
    Remarque : Pour créer des requêtes LDAP ou parcourir le répertoire, un client LDAP doit se lier au serveur LDAP à l'aide du nom distinctif (DN) d'un compte détenant les droits de recherche et de lecture des valeurs des attributs LDAP (des informations relatives à un utilisateur ou un groupe, par exemple). L'administrateur LDAP vérifie que les privilèges d'accès en lecture sont définis pour le nom distinctif lié. Les privilèges d'accès en lecture permet d'accéder au sous-arbre du nom distinctif de base et de s'assurer que les recherches d'informations relatives à l'utilisateur et au groupe ont abouti.

    Le serveur d'annuaire fournit un attribut opérationnel dans chaque entrée d'annuaire (par exemple, IBM Directory Server utilise ibm-entryUuid comme attribut opérationnel). La valeur de cet attribut est un identificateur unique universel (UUID) choisi automatiquement par le serveur d'annuaire lorsque l'élément est ajouté, et censé être unique : aucun autre élément portant un nom identique ou différent ne peut avoir la même valeur. Les clients du répertoire peuvent utiliser cet attribut pour distinguer les objets identifiés par un nom distinctif ou rechercher un objet dont le nom a été modifié. Vérifiez que les justificatifs de liaison détiennent les droits en lecture de cet attribut.

  11. Facultatif : Entrez le mot de passe correspondant au nom distinctif de liaison dans la zone Mot de passe de liaison.
  12. Facultatif : Entrez le nom des propriétés à utiliser pour se connecter à WebSphere Application Server dans la zone Propriétés de connexion. Cette zone accepte plusieurs propriétés de connexion séparées par des points-virgules (;). uid;mail, par exemple.
    Remarque : Si vous voulez que les propriétés de connexion soient sensibles à la casse, assurez-vous que attributeCache est désactivé. Vous pouvez aussi choisir de définir des noms de propriété de connexion qui ne font pas partie de l'élément de nom distinctif.

    Toutes les propriétés de connexion sont recherchées lors de l'établissement de la connexion. Une exception est émise lorsqu'aucune ou plusieurs entrées sont trouvées. Si, par exemple, vous entrez les propriétés de connexion uid;mail et l'ID de connexion Bob, le filtre de recherche recherche uid=Bob ou mail=Bob. Lorsque la recherche renvoie une seule entrée, l'authentification peut continuer. Sinon, une exception est émise.

    Configurations prises en charge Configurations prises en charge: Si vous définissez plusieurs propriétés de connexion, la première est mappée à l'aide d'un programme à la propriété principalName des référentiels fédérés. Par exemple, si vous indiquez uid;mail comme propriétés de connexion, la valeur d'UID d'attribut LDAP est mappé à la propriété principalName des référentiels fédérés. Si vous définissez plusieurs propriétés de connexion, après la connexion, la première est renvoyée comme valeur de la propriété principalName. Par exemple, si vous transmettez joe@yourco.com comme valeur de propriété principalName et que les propriétés de connexion configurées sont uid;mail, la propriété principalName renvoyée a pour valeur joe.sptcfg
  13. Facultatif : Indiquez l'attribut LDAP pour le nom principal Kerberos. Cette zone est activée et ne peut être modifiée que lorsque Kerberos est configuré et qu'il s'agit de l'un des mécanismes d'authentification favoris ou actifs.
  14. Facultatif : Sélectionnez le mode de mappage de certificats dans la zone Mappage de certificats. Vous pouvez utiliser les certificats X.590 pour l'authentification des utilisateurs lorsque le référentiel LDAP est sélectionné. La zone Mappage de certificats permet d'indiquer s'il faut mapper les certificats X.509 à un utilisateur de l'annuaire LDAP à l'aide de EXACT_DN ou CERTIFICATE_FILTER. Si vous sélectionnez EXACT_DN, le nom distinctif (DN) du certificat doit correspondre exactement à l'entrée de l'utilisateur sur le serveur LDAP, y compris les majuscules/minuscules et les espaces.
  15. Si vous sélectionnez CERTIFICATE_FILTER dans la zone Mappage de certificats, indiquez le filtre LDAP à utiliser pour mapper les attributs du certificat client aux entrées de LDAP.

    Si plusieurs entrées LDAP correspondent à la spécification du filtre au cours de l'exécution, l'authentification échoue car la correspondance est alors considérée comme ambiguë. La syntaxe ou structure de ce filtre est la suivante :

    LDAP attribute=${attribut de certificat client}

    uid=${SubjectCN}, par exemple.

    La première partie de la spécification de filtre (Attribut LDAP) est un attribut LDAP qui dépend du schéma que votre serveur LDAP est configuré pour utiliser. L'autre côté de la spécification du filtre (${Attribut du certificat client}) est l'un des attributs publics dans votre certificat Cette partie doit commencer par le signe dollar ($) et une accolade ouvrante ({), et se terminer par une accolade fermante (}). Vous pouvez utiliser les valeurs d'attribut de certificat suivantes sur ce côté de la spécification du filtre. L'utilisation des minuscules et des majuscules dans les chaînes est importante :
    • ${UniqueKey}
    • ${PublicKey}
    • ${IssuerDN}
    • ${Issuer<xx>}

      <xx> est remplacé par les caractères représentant un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de l'émetteur (Issuer Common Name).

    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${SubjectDN}
    • ${Subject<xx>}

      <xx> est remplacé par les caractères représentant un composant valide du nom distinctif du sujet. Par exemple, vous devez utiliser ${SubjectCN} pour le nom commun du sujet (Subject Common Name).

    • ${Version}
  16. Facultatif : Sélectionnez l'option Communications SSL obligatoires si vous souhaitez utiliser des communications SSL (Secure Sockets Layer) avec le serveur LDAP.
    Si vous sélectionnez l'option Communications SSL obligatoires, vous pouvez choisir Géré de façon centrale ou Utiliser un alias SSL spécifique.
    Géré de façon centrale
    Permet de définir une configuration SSL pour une portée donnée telle que la cellule, le noeud, le serveur ou le cluster à un emplacement. Pour utiliser l'option Géré de façon centrale, définissez la configuration SSL pour l'ensemble de noeuds donné. Le panneau Gérer les configurations de sécurité du noeud final et les zones sécurisées affiche tous les noeuds entrants et sortants qui utilisent le protocole SSL. Si vous développez la section Communication entrante ou Communication sortante du panneau et que vous cliquez sur le nom du noeud, vous pouvez définir une configuration SSL utilisée pour chaque noeud final du noeud. Dans le cas d'un registre LDAP, vous pouvez remplacer la configuration SSL héritée en définissant une configuration SSL pour LDAP. Pour définir une configuration SSL pour LDAP, procédez comme suit :
    1. Cliquez sur Sécurité > Gestion des certificats SSL et des clés > Gérer les configurations de sécurité du noeud final et les zones sécurisées.
    2. Développez Communication sortante > nom_cellule > Noeuds > nom_noeud > Serveurs > nom_serveur > LDAP.
    Utiliser un alias SSL spécifique
    Sélectionnez l'option Utiliser un alias SSL spécifique pour choisir l'une des configurations SSL dans le menu qui suit l'option.
    Cette configuration est utilisée uniquement lorsque SSL est activé pour LDAP. La valeur par défaut est Paramètres SSL par défaut. Pour modifier ou créer une nouvelle configuration SSL, procédez comme suit :
    1. Cliquez sur Sécurité > Gestion des certificats SSL de des clés.
    2. Sous Paramètres de configuration, cliquez sur Gérer les configurations des sécurités et les zones sécurisées de noeud final > nom_configuration.
    3. Sous Articles liés, cliquez sur Configurations SSL.
  17. Cliquez sur OK.

Résultats

Une fois cette procédure terminée, les paramètres du référentiel LDAP sont configurés.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
Nom du fichier : twim_ldap_settings.html