Configurando Lightweight Directory Access Protocol em uma Configuração de Repositório Federado

Siga este tópico para configurar as definições de LDAP (Lightweight Directory Access Protocol) em uma configuração de repositório federado.

Sobre Esta Tarefa

Neste ponto, você está visualizando a página de configuração do repositório do LDAP do console administrativo.

Procedimento

  1. Digite um identificador exclusivo para o repositório no campo Identificador do Repositório. Esse identificador identifica de forma exclusiva o repositório na célula, por exemplo: LDAP1.
  2. Selecione o tipo de servidor LDAP utilizado a partir da lista Tipo de Diretório. O tipo de servidor LDAP determina os filtros padrão que são utilizados pelo WebSphere Application Server.

    Os usuários do IBM® Tivoli Directory Server podem escolher o IBM Tivoli Directory Server ou o SecureWay como o tipo de diretório. Utilize o tipo de diretório IBM Tivoli Directory Server para obter melhor desempenho. Para obter uma lista dos servidores LDAP suportados, consulte Utilizando Servidores Específicos de Diretório como o Servidor LDAP.

  3. Digite o nome completo do host do servidor LDAP primário no campo Nome do Host Primário. É possível digitar o endereço IP ou o nome de DNS (Domain Name System).
  4. Digite a porta do servidor do diretório LDAP no campo Porta. O nome do host e o número da porta representam a região para esse servidor LDAP em uma célula de nós de versões mistas. Se servidores de células diferentes estiverem comunicando-se uns com os outros utilizando os tokens LTPA (Lightweight Third Party Authentication), essas regiões deverão corresponder exatamente em todas as células.

    O valor padrão é 389, que não é uma conexão SSL (Secure Sockets Layer). Utilize a porta 636 para uma conexão SSL (Secure Sockets Layer). Para alguns servidores LDAP, é possível especificar uma porta diferente para uma conexão não-SSL ou SSL. Se não souber qual porta utilizar, entre em contato com o administrador do servidor LDAP.

    Se vários WebSphere Application Servers estiverem instalados e configurados para execução no mesmo domínio de conexão única, ou se o WebSphere Application Server interoperar com uma versão anterior do WebSphere Application Server, o número da porta deverá corresponder a todas as configurações. Por exemplo, se a porta LDAP for explicitamente especificada como 389 em uma configuração da Versão 5.x ou 6.0.x e o WebSphere Application Server na Versão 6.1 interoperar com o servidor Versão 5.x ou 6.0.x, verifique se a porta 389 está explicitamente especificada para o servidor da Versão 6.1.

  5. Opcional: Digite o nome do host do servidor LDAP de failover no campo Nome do Host de Failover. É possível especificar um servidor de diretórios secundário a ser utilizado no caso de seu servidor de diretório primário ficar indisponível. Após comutar para um servidor de diretórios secundário, o repositório LDAP tenta reconectar ao servidor de diretórios primário a cada 15 minutos.
  6. Opcional: Digite a porta do servidor LDAP de failover no campo Porta e clique em Incluir. O valor padrão é 389, que não é uma conexão SSL (Secure Sockets Layer). Utilize a porta 636 para uma conexão SSL (Secure Sockets Layer). Para alguns servidores LDAP, é possível especificar uma porta diferente para uma conexão não-SSL ou SSL. Se não souber qual porta utilizar, entre em contato com o administrador do servidor LDAP.
  7. Opcional: Selecione o tipo de referência. Uma referência é uma entidade utilizada para redirecionar um pedido do cliente a outro servidor LDAP. Uma referência contém os nomes e locais de outros objetos. É enviada pelo servidor para indicar que as informações que o cliente solicitou podem ser localizadas em outro local, possivelmente, em outro servidor ou em vários servidores. O valor padrão é ignorar.
    ignorar
    Referências são ignoradas.
    seguir
    Referências são seguidas automaticamente.
  8. Opcional: Especifique o tipo de suporte para rastreamento da mudança no repositório. O gerenciador de perfil consulta este valor antes de transmitir a solicitação ao adaptador correspondente. Se o valor for nenhum, esse repositório não será chamado para recuperar as entidades alteradas.
    Nenhum
    Especifica se não há nenhum suporte para controle de mudança para esse repositório.
    Nativo
    Especifica se o mecanismo de controle de mudança nativo do repositório é usado pelo gerenciador de membro virtual para retornar as entidades alteradas.
  9. Opcional: Especifique pares arbitrários de nome e valor de dados como propriedades customizadas. O nome é uma chave de propriedade e o valor é um valor de cadeia que pode ser utilizado para configurar propriedades internas de configuração do sistema. A definição de uma nova propriedade permite configurar uma definição além daquela disponível no console administrativo.
  10. Opcional: Digite o nome DN de ligação no campo Nome Distinto de Ligação, por exemplo: cn=root. O DN de ligação é obrigatório se ligações anônimas não forem possíveis no servidor LDAP para obter informações de usuário e grupo ou para operações de gravação. Na maioria dos casos, o DN e a senha da ligação são necessários. Entretanto, quando a ligação anônima puder satisfazer a todas as funções requeridas, o DN e a senha da ligação não serão necessários. Se o servidor LDAP estiver configurado para utilizar ligações anônimas, deixe esse campo em branco. Se nenhum nome não for especificado, o servidor de aplicativos é ligado anonimamente.
    Nota: Para criar consultas LDAP ou navegar, um cliente LDAP deve vincular-se ao servidor LDAP utilizando o DN (nome distinto) de uma conta que tenha autoridade para procurar e ler os valores dos atributos LDAP, como informações de usuário e de grupo. O administrador LDAP assegura que os privilégios de acesso de leitura sejam definidos para o DN de ligação. Privilégios de acesso de leitura permitem acesso à subárvore do DN base e assegura que as procuras de informações de usuário e de grupo sejam bem-sucedidas.

    O servidor de diretórios fornece um atributo operacional em cada entrada de diretório (por exemplo, o IBM Directory Server usa ibm-entryUuid como o atributo operacional). O valor desse atributo é um UUID (identificador exclusivo universalmente), que é escolhido automaticamente pelo servidor de diretório quando a entrada é incluída, e espera-se que seja exclusivo: nenhuma outra entrada com o mesmo nome ou um nome diferente teria esse mesmo valor. Os clientes de diretório podem utilizar esse atributo para distinguir objetos identificados por um nome distinto ou localizar um objeto depois de renomear. Assegure-se de que as credenciais de ligação tenham a autoridade para ler este atributo.

  11. Opcional: Digite a senha que corresponde ao DN de ligação no campo Senha de Ligação.
  12. Opcional: Digite os nomes de propriedade a serem usados para efetuar login no WebSphere Application Server no campo Propriedades de Login. Este campo contém várias propriedades de login, delimitadas por um ponto-e-vírgula (;). Por exemplo, uid;mail.
    Nota: Se você desejar que as propriedades de login façam distinção entre maiúsculas e minúsculas, certifique-se de que o attributeCache está desativado. Como alternativa, você pode escolher definir nomes de propriedade de login que não sejam parte de elemento de nome distinto.

    Todas as propriedades de login são procuradas durante o login. Se várias entradas ou nenhuma entrada for localizada, uma exceção é emitida. Por exemplo, se você especificar propriedades de login como uid;mail e o ID de login for Bob, o filtro de procura procura uid=Bob ou mail=Bob. Quando a procura retorna uma única entrada, então, a autenticação pode prosseguir. Caso contrário, uma exceção é emitida.

    Configurações suportadas Configurações suportadas: Se definir diversas propriedades de login, a primeira propriedade de login será mapeada programaticamente para a propriedade principalName dos repositórios federados. Por exemplo, ao configurar uid;mail como propriedades de login, o valor de uid do atributo LDAP será mapeado para a propriedade principalName dos repositórios associados. Se diversas propriedades de login forem configuradas, após o login, a primeira propriedade de login será retornada como o valor da propriedade principalName. Se joe@yourco.com for passado como o valor de principalName e as propriedades de login estiverem configuradas como uid;mail, o principalName será retornado como joe.sptcfg
  13. Opcional: Especifique o atributo LDAP para o nome do Kerberos principal. Este campo está ativado e pode ser modificado somente quando Kerberos é configurado e é um dos mecanismos de autenticação ativos ou preferenciais.
  14. Opcional: Selecione o modo do mapa de certificado no campo Mapeamento de certificado. É possível utilizar os certificados X.590 para autenticação do usuário quando LDAP for selecionado como o repositório. O Mapeamento de certificado é utilizado para indicar se os certificados X.509 devem ser mapeados para um usuário do diretório LDAP por meio de EXACT_DN ou CERTIFICATE_FILTER. Se EXACT_DN for selecionado, o DN do certificado deve corresponder exatamente à entrada do usuário no servidor LDAP, incluindo maiúsculas/minúsculas e espaços.
  15. Se você selecionar CERTIFICATE_FILTER no campo Mapeamento de certificado, especifique o filtro LDAP para mapear atributos no certificado cliente para entradas no LDAP.

    Se mais de uma entrada LDAP corresponder à especificação de filtro no tempo de execução, a autenticação falha, pois o resultado é uma correspondência ambígua. A sintaxe ou estrutura deste filtro é:

    LDAP attribute=${Client certificate attribute}

    Por exemplo, uid=${SubjectCN}.

    O primeiro lado da especificação do filtro (atributo LDAP) é um atributo LDAP, que depende do esquema que seu servidor LDAP está configurado para usar. O outro lado da especificação do filtro (${Client certificate attribute}) é um dos atributos públicos em seu certificado de cliente. Esse lado deve começar com um símbolo de dólar ($), um colchete de abertura ({) e terminar com um colchete de fechamento (}). É possível usar os valores de atributo de certificado a seguir nesse lado da especificação do filtro. O tipo de letra (maiúscula ou minúscula) das cadeias é importante:
    • ${UniqueKey}
    • ${PublicKey}
    • ${IssuerDN}
    • ${Issuer<xx>}

      em que <xx> é substituído pelos caracteres que representam qualquer componente válido do Nome Distinto do Emissor. Por exemplo, é possível utilizar ${IssuerCN} para o Nome Comum do Emissor.

    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${SubjectDN}
    • ${Subject<xx>}

      em que <xx> é substituído pelos caracteres que representam qualquer componente válido do Nome Distinto do Assunto. Por exemplo, é possível utilizar ${SubjectCN} para o Nome Comum do Assunto.

    • ${Version}
  16. Opcional: Selecione a opção Requerer Comunicações SSL se quiser utilizar comunicações Secure Sockets Layer com o servidor LDAP.
    Se você selecionar a opção Requerer Comunicações SSL, poderá selecionar a opção Gerenciado Centralmente ou Utilizar Alias SSL Específico.
    Centralmente Gerenciado
    Permite que você especifique uma configuração SSL para um escopo específico, como a célula, o nó, o servidor ou o cluster em um local. Para utilizar a opção Gerenciado Centralmente, você deve especificar a configuração SSL para o conjunto específico de nós de extremidade. O painel Gerenciar Configurações de Segurança do Nó de Extremidade e Zonas de Confiança exibe todos os nós de extremidade de entrada e saída que utilizam o protocolo SSL. Se você expandir a seção Entrada ou Saída do painel e clicar no nome de um nó, poderá especificar uma configuração SSL que é utilizada para cada nó de extremidade em tal nó. Para um registro LDAP, é possível substituir a configuração SSL herdada, especificando uma configuração SSL para LDAP. Para especificar uma configuração SSL para LDAP, conclua as etapas a seguir:
    1. Clique em Segurança > Certificado SSL e Gerenciamento de Chaves > Gerenciar Configurações de Segurança do Terminal e Zonas Confiáveis.
    2. Expanda Saída > cell_name > Nós > node_name > Servidores > server_name > LDAP.
    Utilizar o Alias Específico de SSL
    Selecione a opção Utilizar Alias SSL Específico se tiver a intenção de selecionar uma das configurações de SSL no menu que segue a opção.
    Essa configuração é utilizada somente quando SSL estiver ativada para LDAP. O padrão é DefaultSSLSettings. Para modificar ou criar uma nova configuração SSL, conclua as seguintes etapas:
    1. Clique em Segurança > Certificado SSL e gerenciamento de chaves.
    2. Em Definições de Configuração, clique em Gerenciar configurações de segurança de terminal e zonas de confiança > configuration_name.
    3. Em Itens Relacionados, clique em Configurações SSL.
  17. Clique em OK.

Resultados

Após concluir essas etapas, suas configurações do repositório LDAP são configuradas.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
Nome do arquivo: twim_ldap_settings.html