Configurando Registros do Usuário do Lightweight Directory Access Protocol

Para acessar um registro do usuário utilizando o LDAP (Lightweight Directory Access Protocol), você deve conhecer um nome de usuário (ID) e senha válidos, o servidor host e porta do servidor de registro, o DN (Nome Distinto) base e, se necessário, o DN de ligação e a senha de ligação. É possível escolher qualquer usuário válido no registro do usuário que possa ser procurado. É possível utilizar qualquer ID de usuário que tenha a função administrativa para efetuar login.

Antes de Iniciar

Nota: Esse tópico faz referência a um ou mais arquivos de log do servidor de aplicativos. Como uma recomendação alternativa, é possível configurar o servidor para usar a infraestrutura de log e rastreio do High Performance Extensible Logging (HPEL) em vez de usar os arquivos SystemOut.log , SystemErr.log, trace.log e activity.log em sistemas distribuídos e IBM® i. Também é possível usar HPEL em conjunção com os recursos de criação de log z/OS nativos. Se você estiver usando HPEL, será possível acessar todas as informações de log e rastreio usando a ferramenta de linha de comandos LogViewer a partir do diretório bin do perfil do servidor. Consulte as informações sobre a utilização do HPEL para resolução de problemas dos aplicativos para obter mais informações sobre o uso do HPEL.

Há duas identidades diferentes que são usadas para propósitos de segurança: o ID de usuário para funções administrativas e a identidade do servidor. Quando a segurança administrativa é ativada, o ID de usuário e senha para funções administrativas são autenticados com o registro. Se a autenticação falhar, o acesso ao console administrativo é concedido ou as tarefas com scripts wsadmin não são concluídas. É importante escolher um ID e senha que não expirem ou mudem com frequência. Se esse ID de usuário ou senha precisarem ser alterados no registro, certifique-se de que as mudanças sejam executadas quando todos os servidores de aplicativos estejam em funcionamento. Quando for necessário fazer alterações no registro, revise o artigo em Registros Lightweight Directory Access Protocol Independentes (LDAP) antes de iniciar esta tarefa.

A identidade do servidor é usada para comunicação do processo interno. Como parte dessa tarefa, é possível alterar a identidade do servidor do ID gerado automaticamente padrão para um ID do servidor e senha a partir do repositório LDAP.

Procedimento

  1. No console administrativo, clique em Segurança > Segurança Global.
  2. No repositório Conta do usuário, clique na lista drop-down Definições de regiões disponíveis, selecione Registro LDAP independente e clique em Configurar.
  3. Digite um nome do usuário válido no campo Nome do Usuário Administrativo Primário. Normalmente, o nome do usuário é o nome abreviado do usuário e é definido pelo filtro de usuário no painel Configurações de LDAP Avançadas.
  4. Determine se você deve especificar a identidade do usuário que é utilizada para comunicação de processar interna. As células que contêm os nós Versão 5.1 ou 6.x requerem uma identidade de usuário do servidor que seja definida no repositório do usuário ativo. Por padrão, a opção Identidade do servidor gerada automaticamente fica ativada, e o servidor de aplicativos gera a identidade do servidor. Entretanto, é possível selecionar a opção Identidade do servidor que é armazenada no repositório para especificar a identidade do servidor e sua senha associada.
  5. Selecione o tipo de servidor LDAP para utilizar na lista Tipo. O tipo de servidor LDAP determina os filtros padrão que são utilizados pelo WebSphere Application Server. Esses filtros padrão alteram o campo Tipo para Customizado, que indica que os filtros customizados são utilizados. Essa ação ocorre depois que você clica em OK ou Aplicar no painel de definições do LDAP Avançado. Escolha o tipo Personalizado na lista e modifique os filtros de usuários e grupos para utilizar outros servidores LDAP, se necessário.

    Os usuários do IBM Tivoli Directory Server podem escolher o IBM Tivoli Directory Server como o tipo de diretório. Utilize o tipo de diretório IBM Tivoli Directory Server para obter melhor desempenho.

    Atenção: O IBM SecureWay Directory Server foi renomeado como IBM Tivoli Directory Server no WebSphere Application Server versão 6.1.
  6. Insira o nome do host completo do servidor LDAP no campo Host. É possível digitar o endereço IP ou o nome de DNS (Domain Name System).
  7. Insira o número da porta do servidor LDAP no campo Porta. O nome do host e o número da porta representam a região desse servidor LDAP na célula do WebSphere Application Server. Assim, se os servidores de diferentes células estiverem se comunicando uns com os outros utilizando tokens LTPA (Lightweight Third Party Authentication), essas regiões devem corresponder exatamente em todas as células.

    O valor padrão é 389. Se vários WebSphere Application Servers forem instalados e configurados para executarem no mesmo domínio de conexão única, ou se o WebSphere Application Server interoperar com uma versão anterior do WebSphere Application Server, será importante que o número da porta corresponda a todas as configurações. Por exemplo, se a porta de LDAP estiver explicitamente especificada como 389 em uma configuração de versão 5.x, e um WebSphere Application Server versão 6.0.x interoperar com o servidor versão 5.x, verifique se a porta 389 está explicitamente especificada para o servidor de versão 6.0.x.

    É possível configurar a propriedade customizada com.ibm.websphere.security.ldap.logicRealm para alterar o valor do nome da região que é colocado no token. Para obter mais informações, consulte o tópico de propriedades customizadas de segurança.

  8. Digite o DN (Nome Distinto) base no campo Nome Distinto Base. O DN base indica o ponto inicial para procuras neste servidor de diretórios LDAP. Por exemplo, para um usuário com um DN igual a cn=John Doe, ou=Rochester, o=IBM, c=US, especifique o DN base como qualquer uma das opções a seguir, assumindo um sufixo igual a c=us:
    • ou=Rochester, o=IBM, c=us
    • o=IBM, c=us
    • c=us
    Para finalidades de autorização, esse campo faz distinção entre maiúsculas e minúsculas por padrão. Combine as maiúsculas e minúsculas no seu servidor do diretório. Se um token for recebido (por exemplo, de outra célula ou do Lotus Domino), o DN base no servidor deverá corresponder exatamente o DN base de outra célula ou o do Domino. Se a distinção entre maiúsculas e minúsculas não for uma consideração para autorização, ative a opção Ignorar Maiúsculas e Minúsculas para Autorização.

    No WebSphere Application Server, o nome distinto é normalizado de acordo com a especificação do LDAP (Lightweight Directory Access Protocol). A normalização consiste em remover espaços no nome distinto base antes ou após as vírgulas e os símbolos de igual. Um exemplo de um nome distinto base não normalizado é o = ibm, c = us ou o=ibm, c=us. Um exemplo de nome distinto base normalizado é o=ibm,c=us.

    Para interoperar entre o WebSphere Application Server Versão 6.0 e as versões posteriores, você deve inserir um nome distinto de base normalizado no campo Nome Distinto de Base. No WebSphere Application Server, Versão 6.0 ou nas versões posteriores, a normalização ocorre automaticamente durante o tempo de execução.

    Esse campo é necessário para todos os diretórios LDAP, exceto para o diretório do Lotus Domino. O campo Nome Distinto de Base é opcional para o servidor Domino.

  9. Opcional: Digite o nome do DN de ligação no campo Nome Distinto de Ligação. O DN de ligação será requerido se ligações anônimas não forem possíveis no servidor LDAP para obter informações sobre usuários e grupos. Se o servidor LDAP estiver configurado para utilizar ligações anônimas, deixe esse campo em branco. Se nenhum nome não for especificado, o servidor de aplicativos é ligado anonimamente. Consulte a descrição do campo Nome Distinto Base para obter exemplos dos nomes distintos.
  10. Opcional: Digite a senha correspondente ao DN de ligação no campo Senha de Ligação.
  11. Opcional: Modifique o valor de Tempo Limite de Procura. Esse valor de tempo limite é a quantidade máxima de tempo que o servidor LDAP aguarda para enviar uma resposta ao cliente do produto antes de parar o pedido. O padrão é 120 segundos.
  12. Assegure que a opção Reutilizar a Conexão esteja selecionada. Essa opção especifica se o servidor deve reutilizar a conexão LDAP. Limpe essa opção somente em situações raras em que um roteador é utilizado para enviar pedidos a vários servidores LDAP e quando o roteador não suportar afinidade. Deixe essa opção selecionada para todas as outras situações.
  13. Opcional: Verifique se a opção Ignorar Maiúsculas e Minúsculas para Autorização está ativada. Ao ativar essa opção, a verificação de autorização faz distinção entre maiúsculas e minúsculas. Geralmente, uma verificação de autorização envolve verificar o DN completo de um usuário, que é exclusivo no servidor LDAP e faz distinção entre maiúsculas e minúsculas. Entretanto, ao utilizar os servidores LDAP do Servidor de Diretórios do IBM Directory Server ou do Sun ONE (antigo iPlanet), será necessário ativar essa opção porque as informações do grupo que são obtidas dos servidores LDAP não são consistentes nessa distinção entre maiúsculas e minúsculas. Essa inconsistência afeta somente a verificação de autorização. Caso contrário, esse campo é opcional e pode ser ativado quando uma verificação de autorização com distinção entre maiúsculas e minúsculas é requerida. Por exemplo, é possível selecionar essa opção quando utilizar certificados e o conteúdo do certificado não corresponder às maiúsculas e minúsculas da entrada do servidor LDAP.

    Você também pode ativar a opção Ignorar distinção entre maiúsculas e minúsculas para autorização quando estiver utilizando o SSO (Conexão Única) entre o produto e o Lotus Domino. O padrão é ativado.

  14. Opcional: Selecione a opção SSL Ativado se quiser utilizar comunicações Secure Sockets Layer com o servidor LDAP.
    Importante: Esta etapa será bem-sucedida apenas se o certificado de Assinante para o LDAP for incluído primeiro no truststore que será usado posteriormente. Se o certificado de Assinante do LDAP não for incluído no truststore,
    • Será emitido um erro pelo Console administrativo.
    • O Deployment Manager (DMGR) systemout.log exibirá a mensagem CWPKI0022E: SSL HANDSHAKE FAILURE indicando que o Certificado de assinante precisa ser incluído ao truststore.

    Para garantir uma operação livre de erros para esta etapa, você precisa, primeiramente, extrair para um arquivo o Certificado de assinante do LDAP e enviar esse arquivo para o computador do WebSphere Application Server. É possível incluir o certificado no truststore que está sendo definido para o LDAP. Desta forma, você assegura que as ações restantes para esta etapa serão bem-sucedidas.

    Se você selecionar a opção SSL Ativado, poderá selecionar a opção Gerenciado Centralmente ou Utilizar Alias SSL Específico.
    Centralmente Gerenciado
    Permite que você especifique uma configuração SSL para o escopo específico, como célula, nó, servidor ou cluster em um local. Para utilizar a opção Gerenciado Centralmente, você deve especificar a configuração SSL para o conjunto específico de nós de extremidade. O painel Gerenciar Configurações de Segurança do Nó de Extremidade e Zonas de Confiança exibe todos os nós de extremidade de entrada e saída que utilizam o protocolo SSL. Se você expandir a seção Entrada ou Saída do painel e clicar no nome de um nó, poderá especificar uma configuração SSL que é utilizada para cada nó de extremidade em tal nó. Para um registro LDAP, é possível substituir a configuração SSL herdada, especificando uma configuração SSL para LDAP. Para especificar uma configuração SSL para LDAP, conclua as etapas a seguir:
    1. Clique em Segurança > Certificado SSL e gerenciamento de chaves > Gerenciar configurações de segurança do terminal e zonas de confiança.
    2. Expanda Saída > cell_name > Nós > node_name > Servidores > server_name > LDAP.
    Utilizar o Alias Específico de SSL
    Selecione a opção Usar alias SSL específico se tiver a intenção de selecionar uma das configurações de SSL no menu.
    Essa configuração é utilizada somente quando SSL estiver ativada para LDAP. O padrão é DefaultSSLSettings. É possível clicar no nome de uma configuração existente para modificá-la ou concluir as etapas a seguir para criar uma nova configuração SSL:
    1. Clique em Segurança > Certificado SSL e gerenciamento de chaves.
    2. Em Definições de Configuração, clique em Gerenciar Configurações de Segurança do Nó de Extremidade.
    3. Selecione um configuration_name SSL (Secure Sockets Layer) para escopos selecionados, como uma célula, um nó, um servidor ou um cluster.
    4. Em Itens Relacionados, clique em Configurações SSL.
    5. Clique em Novo.
  15. Clique em OK ou Aplicar até retornar ao painel Segurança global, e na página Segurança global, clique em Salvar, para certificar-se de que a configuração LDAP foi salva.
  16. Verifique se a opção Definições de região disponíveis foi configurada como Registro LDAP independente. Se não foi, selecione-a no menu suspenso e, em Configurar como atual, pressione Aplicar.

Resultados

Este conjunto de etapas é requerido para configurar o registro do usuário LDAP. Essa etapa é necessária como parte da ativação da segurança no WebSphere Application Server.

O que Fazer Depois

  1. Se estiver ativando a segurança, conclua as etapas restantes, conforme especificado em Ativando a Segurança para a Região.
  2. [z/OS]Se desejar usar a autorização do System Authorization Facility (SAF) com seu registro LDAP, então leia sobre o Considerações do System Authorization Facility para os Níveis de Sistema Operacional e Aplicativo para obter mais informações.
  3. Salve, pare e reinicie todos os servidores do produto (gerenciadores de implementação, nós e Application Servers) para que as alterações neste painel sejam efetivadas. Se o servidor ficar visível sem nenhum problema, a configuração está correta.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ldap
Nome do arquivo: tsec_ldap.html