Configurações Avançadas de Registro do Usuário do Lightweight Directory Access Protocol

Utilize esta página para configurar as definições avançadas de registro do usuário LDAP (Lightweight Directory Access Protocol) quando usuários e grupos residem em um diretório LDAP externo.

Para visualizar esta página administrativa, conclua as seguintes etapas:
  1. Clique em Segurança > Segurança global.
  2. No repositório Conta do Usuário, clique na lista drop-down Definições de Região Disponíveis, selecione Registro LDAP Independente e clique em Configurar.
  3. Em Propriedades Adicionais, clique em Definições Avançadas de Registro do Usuário LDAP (Lightweight Directory Access Protocol).

Os valores padrão para todos os filtros relacionados a usuários e grupos já estão preenchidos nos campos adequados. É possível alterar esses valores dependendo de sua necessidade. Esses valores padrão são baseados no tipo de servidor LDAP que é selecionado no painel Configurações de Registro LDAP Independente. Se esse tipo for alterado, por exemplo, de Netscape para Secureway, os filtros padrão serão alterados automaticamente. Quando os valores de filtro padrão são alterados, o tipo de servidor LDAP é alterado para Customizado para indicar que os filtros customizados são utilizados. Quando a segurança é ativada e qualquer uma dessas propriedades é alterada, vá para o painel Segurança Global e clique em Aplicar ou em OK para validar as alterações.

Nota: A criação de perfil inicial configura o WebSphere Application Server para usar uma opção de registro de segurança de repositórios federados com o registro baseado em arquivo. Essa configuração de registro de segurança pode ser alterada para usar outras opções, inclusive o registro LDAP independente. Em vez de alterar a partir da opção de repositórios federados para a opção de registro LDAP independente na configuração de repositório de conta do Usuário, considere usar a opção de repositórios federados, fornecida para a configuração LDAP. Os repositórios federados fornecem uma ampla variedade de capacidades, dentre elas a possibilidade de ter um ou diversos registros do usuário. Ele suporta a federação de um ou mais LDAPs além dos registros customizados e baseados em arquivo. Também possui capacidades de failover melhoradas e um conjunto maior de capacidades de gerenciamento de membro (usuário e grupo). Repositórios federados são necessários quando estiver usando as novas capacidades de gerenciamento de membro no WebSphere Portal 6.1 e superior e o Process Server 6.1 e superior. O uso dos repositórios federados é necessário para as seguintes referências LDAP, que é um requisito comum em alguns ambientes de servidor LDAP (como o Microsoft Active Directory).

É recomendado migrar de registros LDAP independentes para repositórios federados. Se você mover para o WebSphere Portal 6.1 e superior ou do WebSphere Process Server 6.1 e superior, você deverá migrar para os repositórios federados antes desses upgrades. Para obter mais informações sobre os repositórios federados e suas capacidades, leia o tópico de Repositórios Federados. Para obter mais informações sobre como migrar para os repositórios federados, leia o tópico de configuração Migrando um Repositório LDAP Independente para o Repositório LDAP de Repositórios Federados.

Filtro de Usuários

Especifica o filtro do usuário LDAP que procura usuários no registro do usuário.

Esta opção normalmente é utilizada para designações de função-para-usuário de segurança e especifica a propriedade através da qual consultar usuários no serviço de diretório. Por exemplo, para consultar usuários com base em seus IDs de usuário, especifique (&(uid=%v)(objectclass=inetOrgPerson)). Para obter informações adicionais sobre esta sintaxe, consulte a documentação do serviço de diretório do LDAP.

Informações Valor
Tipo de Dados: String

Filtro de grupo

Especifica o filtro de grupos LDAP que procura por grupos no registro de usuários.

Esta opção normalmente é utilizada para designações de função-para-grupo de segurança e especifica a propriedade através da qual consultar grupos no serviço de diretório. Para obter informações adicionais sobre esta sintaxe, consulte a documentação do serviço de diretório do LDAP.

Informações Valor
Tipo de dados: Cadeia

Mapa de IDs de Usuário

Especifica o filtro LDAP que mapeia o nome abreviado de um usuário para uma entrada LDAP.

Especifica a parte da informação que representa os usuários quando eles são exibidos. Por exemplo, para exibir entradas do tipo object class = inetOrgPerson digite seus IDs, especifique inetOrgPerson:uid. Esse campo aceita vários pares objectclass:property delimitados por ponto-e-vírgula (;).

Informações Valor
Tipo de dados: Cadeia

Mapa de IDs do Grupo

Especifica o filtro LDAP que mapeia o nome abreviado de um grupo para uma entrada LDAP.

Especifica a parte da informação que representa os grupos quando eles são exibidos. Por exemplo, para exibir grupos por seus nomes, especifique *:cn. O asterisco (*) é um caractere curinga que pesquisa todas as classes de objeto nesse caso. Esse campo aceita vários pares objectclass:property delimitados por ponto-e-vírgula (;).

Informações Valor
Tipo de dados: Cadeia

Mapa de ID do Membro do Grupo

Especifica o filtro LDAP que identifica relacionamentos de usuário-para-grupo.

Para os tipos de diretórios SecureWay e Domino, esse campo aceita vários pares objectclass:property delimitados por umponto-e-vírgula (;). Em um par objectclass:property, o valor da classe de objeto é a mesma classe de objeto que é definida no filtro de grupos e a propriedade é o atributo member. Se o valor da classe de objeto não corresponder à classe de objeto no filtro de grupos, a autorização poderá falhar se os grupos forem mapeados para funções de segurança. Para obter informações adicionais sobre essa sintaxe, consulte a documentação do serviço de diretório LDAP.

Para o IBM® Directory Server, Sun ONE e Active Directory, esse campo aceita vários pares group attribute:member attribute delimitados por um ponto-e-vírgula (;). Estes pares são utilizados para localizar as associações de grupo de um usuário, através da enumeração de todos os atributos de grupo que são possuídos por um determinado usuário. Por exemplo, o par de atributos memberof:member é utilizado pelo Active Directory e ibm-allGroup:member é usado pelo IBM Directory Server. Este campo também especifica qual propriedade de uma classe de objeto armazena a lista de membros pertencente ao grupo representado pela classe de objeto. Para os servidores de diretório LDAP suportados, consulte "Serviços de diretório suportados".

Informações Valor
Tipo de dados: Seqüência de Caracteres

Filtro de Usuários do Kerberos

Especifica o valor do filtro de usuários do Kerberos. Esse valor pode ser modificado quando o Kerberos está configurado e ativo como um dos mecanismos de autenticação preferidos.

Informações Valor
Tipo de Dados: String

Modo do Mapa do Certificado

Especifica se é necessário mapear os certificados X.509 em um diretório LDAP por meio de EXACT_DN ou CERTIFICATE_FILTER. Especifique CERTIFICATE_FILTER para utilizar o filtro de certificado especificado para o mapeamento.

Informações Valor
Tipo de Dados: String

Filtro de Certificados

Especifica a propriedade de mapeamento de certificados de filtro para o filtro LDAP. O filtro é utilizado para mapear atributos no certificado cliente para entradas no registro LDAP.

Se mais de uma entrada LDAP corresponder à especificação do filtro no tempo de execução, a autenticação falhará porque o resultado será uma correspondência ambígua. A sintaxe ou estrutura desse filtro é: (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). O lado esquerdo da especificação de filtros é um atributo de LDAP que depende do esquema que o seu servidor LDAP está configurado para utilizar. O lado direito da especificação de filtros é um dos atributos públicos em seu certificado de cliente. O lado direito deve começar com um cifrão ($) e chave de abertura ({) e terminar com uma chave de fechamento (}). Os valores de atributo de certificado a seguir podem ser utilizados do lado direito da especificação do filtro. O tipo de letra (maiúscula ou minúscula) das cadeias é importante:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    em que <xx> é substituído pelos caracteres que representam qualquer componente válido do Nome Distinto do Emissor. Por exemplo, você pode utilizar ${IssuerCN} para o Nome Comum do Emissor.

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    em que <xx> é substituído pelos caracteres que representam qualquer componente válido do Nome Distinto do Assunto. Por exemplo, você pode usar ${SubjectCN} para o Nome Comum do Assunto.

  • ${Version}
Evitar Problemas Evitar Problemas: Os nomes alternativos do assunto (SANs) não são suportados como itens de filtro de certificados.gotcha
Informações Valor
Tipo de Dados: String

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_advldap
Nome do arquivo: usec_advldap.html