Migration d'un référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés
Lors de la configuration de la sécurité pour votre serveur d'applications, vous aurez peut-être besoin de faire migrer un registre LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés.
Avant de commencer
Notez les spécifications de votre référentiel LDAP autonome à migrer pour référence lors de la configuration du référentiel LDAP de référentiels fédérés. Pour accéder à ces zones, dans la console d'administration, cliquez sur Sécurité > Sécurité globale puis, sous Référentiel du compte utilisateur, sélectionnez Registre LDAP autonome ou Référentiels fédérés dans la zone des définitions de domaine disponibles et cliquez sur Configurer. Pour accéder à ces zones dans un environnement comptant plusieurs domaines de sécurité, cliquez sur Sécurité > Sécurité globale > Domaines de sécurité > nom_domaine puis, sous Attributs de sécurité, développez Domaine d'utilisateur et cliquez sur Personnaliser pour ce domaine. Sélectionnez le type de domaine Registre LDAP autonome ou Référentiels fédérés puis cliquez sur Configurer.

Le tableau suivant présente les panneaux et les zones de la console d'administration relatifs à la configuration du référentiel LDAP autonome et les zones correspondantes dans une configuration de référentiel LDAP de référentiels fédérés à des fins de mappage.
Configuration du référentiel LDAP autonome | Configuration du référentiel LDAP de référentiels fédérés |
---|---|
Sécurité globale > Registre LDAP autonome Propriétés générales – Nom d'utilisateur administratif principal |
Sécurité globale > Référentiels fédérés Propriétés générales – Nom d'utilisateur administratif principal |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Type de serveur LDAP |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Serveur LDAP - Type de répertoire |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Hôte |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Serveur LDAP - Nom d'hôte principal |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Port |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Serveur LDAP - Port |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Hôtes de reprise en ligne |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Serveur LDAP – Serveur de reprise en ligne utilisé lorsque le premier n'est pas disponible |
Sécurité globale > Registre LDAP autonome Serveur LDAP – Nom distinctif de base (DN) |
Sécurité globale > Référentiels fédérés > Référence du référentiel (cliquez sur Ajouter une entrée de base au domaine) Propriétés générales – Nom distinctif d'une entrée de base qui identifie cet ensemble d'entrées de manière unique dans le domaine et Propriétés générales – Nom distinctif d'une entrée de base de ce référentiel |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Délai d'expiration de la recherche |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel > Performances Propriétés générales - Temps de recherche de limites |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Propriétés personnalisées |
Sécurité globale > Référentiels fédérés > Propriétés personnalisées |
Sécurité globale > Registre LDAP autonome Serveur LDAP - Identité de l'utilisateur de serveur |
Sécurité globale > Référentiels fédérés Propriétés générales - Identité de l'utilisateur de serveur |
Sécurité globale > Registre LDAP autonome Sécurité – Nom distinctif de liaison (DN) |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Sécurité – Nom distinctif de liaison |
Sécurité globale > Registre LDAP autonome Sécurité – Mot de passe de liaison |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Sécurité – Mot de passe de liaison |
Sécurité globale > Registre LDAP autonome >
Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access) Propriétés générales - Filtre utilisateur Kerberos |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Sécurité – Attribut LDAP pour un nom principal Kerberos |
Sécurité globale > Registre LDAP autonome >
Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access) Propriétés générales - Mode de mappage des certificats |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Sécurité – Mappage de certificats |
Sécurité globale > Registre LDAP autonome >
Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access) Propriétés générales - Filtre de certificats |
Sécurité globale > Référentiels fédérés > Gestion des référentiels > ID_référentiel Sécurité – Filtre de certificats |
La zone Nom de domaine sous Propriétés générales dans le panneau de configuration LDAP de référentiels fédérés n'est pas répertoriée dans le tableau précédent car elle n'a pas de correspondance avec une zone du panneau de configuration LDAP de référentiels autonomes. Le nom d'hôte et le numéro de port représentent le nom de domaine du serveur LDAP autonome dans la cellule WebSphere Application Server. Pour plus d'informations sur la modification du nom de domaine, voir la rubrique Paramètres de configuration de domaine.
Les zones Filtre d'utilisateurs, Filtre de groupes, Mappe des ID utilisateur, Mappe des ID groupe et Mappe des ID membre du groupe ne sont également pas répertoriées dans le tableau précédent car elles n'ont pas de correspondances un à un dans le panneau de configuration de référentiel LDAP de référentiels fédérés. Ces attributs LDAP sont définis différemment dans la configuration de référentiel LDAP de référentiels fédérés et impliquent plusieurs étapes. Ces paramètres sont décrits en détails dans les sections et la procédure suivantes.
Pourquoi et quand exécuter cette tâche
La migration depuis une configuration de référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés implique la migration des paramètres de configuration, ce qui est le plus souvent un processus simple, comme illustré dans le tableau 1 de la section précédente. La migration des filtres de recherche constitue une partie importante de la migration d'une configuration de référentiel LDAP autonome vers une configuration de référentiel LDAP de référentiels fédérés. Le concept et la migration des filtres de recherche LDAP sont donc décrits ici en détails.
Les filtres de recherche de registre LDAP autonome respectent la syntaxe des filtres LDAP dans laquelle vous indiquez l'attribut sur lequel la recherche est basée et sa valeur.
Le filtre d'utilisateurs est utilisé pour rechercher des utilisateurs dans le registre. Il permet d'authentifier un utilisateur à l'aide de l'attribut spécifié dans le filtre.
Le filtre de groupes est utilisé pour rechercher des groupes dans le registre. Il précise sur quelle propriété doit porter la recherche des groupes.
(&(uid=%v)(objectclass=ePerson))
Recherche les utilisateurs dont l'attribut uid correspond au masque de recherche spécifié de la classe d'objets ePerson.
(&(cn=%v)(objectclass=user))
Recherche les utilisateurs dont l'attribut cn correspond au masque de recherche spécifié de la classe d'objets user.
(&(sAMAccountName=%v)(objectcategory=user))
Recherche les utilisateurs dont l'attribut sAMAccountName correspond au masque de recherche spécifié de la catégorie d'objets user.
(&(userPrincipalName=%v)(objectcategory=user))
Recherche les utilisateurs dont l'attribut userPrinciplalName correspond au masque de recherche spécifié de la catégorie d'objets user.
(&(mail=%v)(objectcategory=user))
Recherche les utilisateurs dont l'attribut mail correspond au masque de recherche spécifié de la catégorie d'objets user.
(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))
Recherche les utilisateurs dont l'attribut sAMAccountName ou userPrincipalName correspond au masque de recherche spécifié de la catégorie d'objets user.
Exemples de filtres de groupes couramment utilisés
(&cn=%v)(objectCategory=group)
Recherche des groupes en fonction de leurs noms communs (cn).
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Recherche des groupes en fonction de leurs noms communs (cn) et en utilisant la classe d'objets groupOfNames ou groupOfUniqueNames.
Comme illustré dans ces exemples, un registre LDAP autonome est constitué d'attributs et de classes d'objets LDAP en fonction desquels la recherche ou la connexion est effectuée.
Vous pouvez également spécifier des attributs et des classes d'objets LDAP dans la configuration d'adaptateur LDAP de référentiels fédérés, mais ils sont configurés différemment et offrent une flexibilité accrue. Dans des référentiels fédérés, l'utilisateur est représenté en tant que type d'entité PersonAccount et le groupe, en tant que type d'entité Group. Chaque type d'entité possède sa propre propriété RDN (nom distinctif relatif) (rdnProperties) et sa propre classe d'objets. Par exemple, la propriété RDN par défaut de PersonAccount est uid et celle de Group est cn. Le mappage de classe d'objets par défaut dépend du type de serveur LDAP. Par exemple, pour Tivoli Directory Server, la classe d'objets correspondant à PersonAccount est inetOrgPerson et celle correspondant à Group est groupOfNames. PersonAccount peut également comprendre des propriétés de connexion. Lorsqu'un utilisateur se connecte ou qu'une recherche est effectuée pour un utilisateur dans le registre d'utilisateurs, ces propriétés de connexion sont mises en correspondance avec le masque. Par exemple, si les propriétés de connexion sont uid et mail, pour le masque de recherche a*, tous les utilisateurs qui correspondent à uid=a* ou mail=a* sont renvoyés.

La migration des filtres de recherche implique une ou plusieurs des étapes suivantes : définition des propriétés de connexion correctes, mappage des attributs du référentiel dorsal sur les propriétés des référentiels fédérés, définition de la classe d'objets, définition du filtre de recherche à l'aide de la classe d'objets ou de la catégorie d'objets et définition de l'attribut de membre ou d'appartenance. Ce mappage et cette configuration pour les référentiels fédérés sont gérés dans le fichier wimconfig.xml.
- Filtre d'attributs d'utilisateur ou de groupe
- Filtre de classes d'objets ou de catégories d'objets d'utilisateur ou de groupe
- Le filtre d'attributs est (cn=%v)
- Le filtre de classes d'objets est (objectclass=user)
- Le filtre d'attributs est mappé sur la configuration de propriétés RDN ou de connexion pour un utilisateur et sur la configuration de propriétés RDN pour un groupe.
- Le filtre de classes d'objets est mappé sur la configuration de type d'entité de l'adaptateur LDAP.
- Filtre d'attributs :
- Définition de l'une des propriétés RDN et de connexion, ou des deux (le cas échéant)
- Mappage de la propriété de référentiel fédéré sur l'attribut LDAP (le cas échéant)
- Filtre de classes d'objets :
- Définition de la classe d'objets pour le type d'entité (le cas échéant)
- Définition du filtre de recherche du type d'entité (le cas échéant)
- L'exemple 1 est applicable au scénario dans lequel vous faites migrer le filtre de recherche (&(cn=%v)(objectclass=ePerson)) d'un référentiel LDAP IBM Tivoli Directory Server autonome vers un référentiel LDAP de référentiels fédérés avec l'identificateur LDAPTDS.
- L'exemple 2 est applicable au scénario dans lequel vous faites migrer le filtre de recherche (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) d'un référentiel LDAP Microsoft Active Directory LDAP autonome vers un référentiel LDAP de référentiels fédérés avec l'identificateur LDAPAD. Les attributs sAMAccountName et userPrincipalName ne sont pas définis dans des référentiels fédérés. Ces attributs doivent donc être mappés sur des propriétés de référentiel fédéré.