Utilizando Servidores Específicos de Diretório como o Servidor LDAP

São fornecidas informações importantes sobre os servidores de diretórios que são suportados como servidores Lightweight Directory Access Protocol (LDAP) no WebSphere Application Server.

Antes de Iniciar

Florestas do Microsoft Active Directory não são suportadas com o Registro de LDAP independente. O Federated Repository Registry, quando configurado para usar um LDAP Active Directory, suporta o uso de florestas.

Sobre Esta Tarefa

Espera-se que outros servidores LDAP sigam a especificação LDAP. O suporte é limitado apenas a esses servidores de diretório específicos. É possível utilizar qualquer outro servidor de diretórios, utilizando o tipo de diretório customizado na lista e preenchendo os filtros requeridos por esse diretório.

Para aprimorar o desempenho para procuras LDAP, os filtros padrão para o IBM® Tivoli Directory Server, Sun ONE e Active Directory são definidos de forma que, ao procurar um usuário, o resultado contenha todas as informações relevantes sobre o usuário (ID do usuário, grupos, etc.). Como resultado, o produto não chama o servidor LDAP várias vezes. Essa definição é possível somente nesses tipos de diretórios, que suportam pesquisas para as quais informações completas sobre usuários são obtidas.

Se você utilizar o IBM Directory Server, selecione a opção Ignorar Maiúsculas e Minúsculas para Autorização. Essa opção é necessária porque, quando as informações sobre o grupo são obtidas dos atributos de objeto do usuário, a caixa não é a mesma de quando você obtém as informações sobre o grupo diretamente. Para que a autorização de trabalho funcione nesse caso, faça uma verificação sem distinção entre maiúsculas e minúsculas e verifique o requisito da opção Ignorar Maiúsculas e Minúsculas para Autorização.

[z/OS]O Servidor de Segurança LDAP para a plataforma z/OS é suportado quando o backend do TDBM (DB2 Technical Database Management) é utilizado. Utilize os filtros do SecureWay Directory Server para conectar-se com o Servidor de Segurança LDAP para plataforma z/OS.

  • [IBM i]Utilizando o Directory Services como o Servidor LDAP

    Suporte para grupos que contêm outros grupos ou grupos aninhados depende das versões específicas do WebSphere Application Server e LDAP. Para obter informações adicionais, consulte o Dynamic groups and nested group support for LDAP.

  • Utilizando o IBM Tivoli Directory Server como o Servidor LDAP

    [AIX Solaris HP-UX Linux Windows][IBM i] Para utilizar o IBM Tivoli Directory Server, antigo IBM Directory Server, selecione o IBM Tivoli Directory Server como o tipo de diretório.

    [z/OS]É possível selecionar o tipo de diretório do IBM Tivoli Directory Server ou SecureWay para o IBM Directory Server.

    A diferença entre esses dois tipos é a consulta de filiação de grupo. É recomendável escolher o IBM Tivoli Directory Server para obter um desempenho ideal durante o tempo de execução. No IBM Tivoli Directory Server, a associação ao grupo é um atributo operacional. Como esse atributo, uma consulta de associação de grupo é feita enumerando o atributo ibm-allGroups para a entrada. Todas as associações de grupo, incluindo os grupos estáticos, grupos dinâmicos e grupos aninhados, podem ser retornadas com o atributo ibm-allGroups.

    WebSphere Application Server suporta grupos dinâmicos, grupos aninhados e grupos estáticos em IBM Tivoli Directory Server usando o atributo ibm-allGroups. Para utilizar esse atributo em um aplicativo de autorização de segurança, utilize uma correspondência sem distinção de maiúsculas e minúsculas para que os valores do atributo retornados pelo atributo ibm-allGroups estejam todos em maiúsculas.

    Importante: É recomendado que você não instale o IBM Tivoli Directory Server Versão 6.0 na mesma máquina que instalou o Versão 9.0. O IBM Tivoli Directory Server Versão 6.0 inclui o Versão 5.1.1, que o servidor de diretórios utiliza para seu console administrativo. Instale a ferramenta de administração da Web Versão 6.0 e o Versão 5.1.1, ambos são fornecidos com o IBM Tivoli Directory Server Versão 6.0, em uma máquina diferente do Versão 9.0. Não é possível usar o Versão 9.0 como console administrativo para IBM Tivoli Directory Server. Se o IBM Tivoli Directory Server Versão 6.0 e Versão 9.0 estiverem instalados na mesma máquina, você pode ter conflitos de porta.

    Se precisar instalar o IBM Tivoli Directory Server Versão 6.0 e o Versão 9.0 na mesma máquina, considere as seguintes informações:

    • Durante o processo de instalação do IBM Tivoli Directory Server, você deve selecionar ambos, Ferramenta de administração da Web e Versão 5.1.1.
    • Instale o Versão 9.0.
    • Quando instalar o Versão 9.0, altere o número da porta do servidor de aplicativos.
    • Pode ser necessário ajustar as variáveis de ambiente do WebSphere Application Server no Versão 9.0 para WAS_HOME e WAS_INSTALL_ROOT (ou APP_SERVER_ROOT para IBM i). Para alterar as variáveis utilizando o console administrativo, clique em Ambiente > Variáveis do WebSphere.
  • Utilizando um Lotus Domino Enterprise Server como o Servidor LDAP
    Se você selecionar o Lotus Domino Enterprise Server Versão 6.5.4 ou Versão 7.0 e o nome abreviado do atributo não estiver definido no esquema, execute uma das seguintes ações:
    • Alterar o esquema para incluir o nome abreviado do atributo.
    • Alterar o filtro de mapeamento de IDs do usuário para substituir o nome abreviado por qualquer outro atributo definido (preferivelmente para UID). Por exemplo, altere person:shortname para person:uid.
    O filtro de mapa de userID é alterado para utilizar o atributo uid, em vez do atributo shortname, pois a versão atual do Lotus Domino não cria o atributo shortname por padrão. Se desejar utilizar o atributo shortname, defina o atributo no esquema e altere o filtro de mapa de ID do usuário.

    Mapa de IDs do Usuário:    person:shortname

  • Utilizando o Sun ONE Directory Server como o Servidor LDAP
    É possível selecionar Sun ONE Directory Server para seu sistema Sun ONE Directory Server. No Sun ONE Directory Server, a classe de objeto é o groupOfUniqueName padrão quando um grupo é criado. Para um melhor desempenho, o WebSphere Application Server utilize o objeto de Usuário para localizar a associação de grupo de usuários do atributo nsRole. Crie o grupo a partir da função. Se desejar utilizar o atributo groupOfUniqueName para procurar grupos, especifique sua própria definição de filtro. As funções unificam as entradas. As funções são projetadas para serem mais eficientes e fáceis de utilizar para aplicativos. Por exemplo, um aplicativo pode localizar a função de uma entrada, enumerando todas as funções pertencentes a uma determinada entrada, em vez de selecionar um grupo e procurar na lista de membros. Ao utilizar funções, é possível criar um grupo utilizando:
    • Função gerenciada
    • Função filtrada
    • Função aninhada
    Todas essas funções são calculáveis pelo atributo nsRole.
  • Utilizando o Servidor Microsoft Active Directory como o Servidor LDAP

    Para usar o Microsoft Active Directory como o servidor LDAP para autenticação com o WebSphere Application Server você deve seguir etapas específicas. Por padrão, o Microsoft Active Directory não permite consultas LDAP anônimas. Para criar consultas LDAP ou procurar o diretório, um cliente LDAP deve vincular-se ao servidor LDAP utilizando o DN (nome distinto) de uma conta que tenha autoridade para procurar e ler os valores dos atributos LDAP, como informações de usuário e de grupo, necessárias ao Servidor de Aplicativos. Uma procura de associação de grupo no Active Directory é feita enumerando o atributo memberof para uma determinada entrada do usuário, em vez de procurar na lista de membros de cada grupo. Se você alterar o comportamento padrão para procurar em cada grupo, poderá alterar o campo Mapa de ID de Membro do Grupo de memberof:member para group:member.

As etapas a seguir descrevem como configurar o Microsoft Active Directory como o servidor LDAP.

Procedimento

  1. Determine o DN (Nome Distinto) completo e a senha de uma conta no grupo de administradores.
    [AIX Solaris HP-UX Linux Windows][IBM i]Por exemplo, se o administrador do Active Directory criar uma conta na pasta Usuários no painel de controle Usuários e Computadores do Active Directory do Windows, e o domínio DNS for ibm.com, o DN resultante terá a seguinte estrutura:
    cn=<adminUsername>, cn=users, dc=ibm, 
    dc=com 
  2. Determine o nome abreviado e a senha de qualquer conta no Microsoft Active Directory.
  3. Utilize o console administrativo do WebSphere Application Server para configurar as informações necessárias para usar o Microsoft Active Directory.
    1. Clique em Segurança > Segurança global.
    2. No repositório Conta do Usuário, selecione Registro LDAP Independente e clique em Configurar.
    3. Configure o LDAP com Active Directory como o tipo de servidor LDAP. Com base nas informações determinadas nas etapas anteriores, é possível especificar os seguintes valores no painel Configurações do LDAP:
      Nome do Usuário Administrativo Primário
      Especifique o nome de um usuário com privilégios administrativos definidos no registro. Esse nome do usuário é utilizado para acessar o console administrativo ou utilizado pelo wsadmin.
      Tipo
      Especifique Active Directory
      Host
      Especifique o nome do DNS (Domain Name Service) da máquina que está executando o Microsoft Active Directory.
      DN (Nome Distinto) Base
      Especifique os componentes de domínio do DN da conta escolhida na primeira etapa. Por exemplo: dc=ibm, dc=com
      DN (Nome Distinto) de Ligação
      Especifique o nome distinto completo da conta escolhida na primeira etapa. Por exemplo: cn=adminUsername, cn=users, dc=ibm, dc=com
      Senha de Ligação
      Especifique a senha da conta escolhida na primeira etapa.
    4. Clique em OK e em Salvar para salvar as alterações na configuração principal.
  4. Clique em Segurança > Segurança global.
  5. No repositório Conta do usuário, clique na lista drop-down Definições de regiões disponíveis, selecione Registro LDAP independente e clique em Configurar.
  6. Selecione a opção Identidade do Servidor Gerada Automaticamente ou Identidade do Servidor Armazenada no Repositório. Se você selecionar a opção Identidade de Servidor que É Armazenada no Repositório, digite as seguintes informações:
    ID do usuário do servidor ou usuário administrativo em um nó da Versão 6.0.x
    Especifique o nome abreviado da conta escolhida na segunda etapa.
    Senha do usuário do servidor
    Especifique a senha da conta escolhida na segunda etapa.
  7. Opcional: Defina ObjectCategory como o filtro no campo Mapa do ID do Membro do Grupo para melhorar o desempenho do LDAP.
    1. Em Propriedades Adicionais, clique em Definições Avançadas de Registro do Usuário LDAP (Lightweight Directory Access Protocol).
    2. Inclua ;objectCategory:group no final do campo Mapa do ID do Membro do Grupo.
  8. Clique em OK e em Salvar para salvar as alterações na configuração principal.
  9. Pare e inicie novamente o servidor administrativo para que as alterações sejam efetivadas.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tmsad
Nome do arquivo: tsec_tmsad.html