Registros Lightweight Directory Access Protocol Independentes

Um registro LDAP (Lightweight Directory Access Protocol) independente executa autenticação utilizando uma ligação LDAP.

A segurança do WebSphere Application Server fornece e suporta a implementação da maioria dos principais servidores de diretório LDAP, que podem agir como repositório para informações de usuários e grupos. Estes servidores LDAP são chamados pelos processos do produto para autenticar um usuário e outras tarefas relacionadas à segurança. Por exemplo, os servidores são utilizados para recuperar informações sobre o usuário ou grupo. Esse suporte é fornecido utilizando diferentes filtros de usuários e grupos para obter as informações sobre os usuários e grupos. Esses filtros têm valores padrão que podem ser modificados para se ajustar a suas necessidades. O recurso LDAP personalizado permite utilizar qualquer outro servidor LDAP ,que não esteja na lista de produtos suportados de servidores LDAP, para seu registro de usuários utilizando os filtros apropriados.

Nota: A criação de perfil inicial configura o WebSphere Application Server para usar uma opção de registro de segurança de repositórios federados com o registro baseado em arquivo. Essa configuração de registro de segurança pode ser alterada para usar outras opções, incluindo o registro LDAP independente. Em vez de alterar da opção de repositórios federados para a opção de registro LDAP independente sob a configuração de repositório da conta do usuário, considere usar a opção de repositórios federados, que fornece configuração LDAP. Os repositórios federados fornecem um ampla faixa de recursos, incluindo a capacidade de ter um ou diversos registros do usuário. Eles suportam a federação de um ou mais LDAPs, além dos registros customizados e baseados em arquivo. Eles também melhoraram recursos de failover e um conjunto robusto de recursos de gerenciamento de membro (usuário e grupo). Repositórios federados são necessários quando estiver usando as novas capacidades de gerenciamento de membro no WebSphere Portal 6.1 e superior e o Process Server 6.1 e superior. O uso de repositórios federados é necessário para seguir indicações de LDAP, que é um requisito comum em alguns ambientes do servidor LDAP (como Microsoft Active Directory).

É recomendável migrar de registros LDAP independentes para repositórios federados. Se você mover para o WebSphere Portal 6.1 e superior ou para o WebSphere Process Server 6.1 e superior, você deverá migrar para os repositórios federados antes desses upgrades. Para obter informações adicionais sobre repositórios federados e seus recursos, leia o tópico Repositórios Federados. Para obter informações adicionais sobre como migrar para repositórios federados, leia o tópico Migrando um Repositório LDAP Independente para uma Configuração de Repositório LDAP de Repositórios Federados.

Para utilizar o LDAP como o registro do usuário, é necessário conhecer um nome de usuário administrativo definido no registro, o host do servidor e a porta, o DN (nome distinto) base e, se necessário, o DN de ligação e a senha de ligação. É possível escolher qualquer usuário válido no registro que esteja disponível para pesquisa e que tenha privilégios administrativos. Em alguns servidores LDAP, os usuários administrativos não podem ser procurados nem utilizados, por exemplo, cn=root no SecureWay. Esse usuário é referido como ID do servidor de segurança do WebSphere Application Server, ID do servidor ou ID do usuário do servidor na documentação. Ser um ID de servidor significa que um usuário tem privilégios especiais ao chamar alguns métodos internos protegidos. Normalmente, esse ID e senha são utilizados para efetuar login no console administrativo quando a segurança for ativada. É possível utilizar outros usuários para efetuar login se os usuários fizerem parte das funções administrativas.

Quando a segurança está ativada no produto, o nome do usuário e a senha administrativos primários são autenticados com o registro durante a inicialização do produto. Se a autenticação falhar, o servidor não será iniciado. É importante escolher um ID e senha que não expirem ou mudem com frequência. Se o ID do usuário ou a senha do servidor do produto precisarem ser alterados no registro, certifique-se de que as alterações sejam executadas quando todos os servidores do produto estiverem operacionais e em execução.

Quando forem feitas alterações no registro, utilize as etapas descritas em Configurando Registros do Usuário do Lightweight Directory Access Protocol. Altere o ID, a senha e outras informações de configuração, salve, pare e reinicie todos os servidores para o novo ID ou senha sejam utilizados pelo produto. Se houver algum problema ao iniciar o produto quando a segurança estiver ativada, desative a segurança antes que o servidor seja inicializado. Para evitar estes problemas, certifique-se de que as alterações neste painel sejam validadas no painel Segurança Global. Quando o servidor estiver operacional, será possível alterar o ID, a senha e outras informações de configuração e, em seguida, ativar a segurança.

É possível utilizar o recurso LDAP (Lightweight Directory Access Protocol) customizado para suportar qualquer servidor LDAP, efetuando a configuração correta. Entretanto, o suporte não é estendido a esses servidores LDAP personalizados porque existem muitas possibilidades de configuração.

As informações de mapeamento da função de segurança e de usuários e grupos são utilizadas pelo mecanismo de autorização configurado para executar as decisões de controle de acesso.

[z/OS]Se estiver configurando um registro LDAP como o registro ativo, é possível configurar um dos seguintes mecanismos de autorização:
  • A autorização SAF (System Authorization Facility), utilizando os perfis EJBROLE ou GEJBROLE. O SAF substitui qualquer outro mecanismo de autorização.
  • Tivoli Access Manager como um provedor JACC (Java™ Contract for Containers). Para obter mais informações, consulte Tivoli Access Manager integration as the JACC provider.
  • Ligações de usuário para função, que são criadas pelo assembler de aplicativos ou pelo administrador de segurança do WebSphere Application Server.
[z/OS]A autorização do SAF, que é a utilização de perfis SAF EJBROLE para designar usuários e grupos do SAF a funções, pode ser utilizada como um mecanismo de autorização para todos os registros do usuário. Se a autorização SAF for selecionada no console administrativo:

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
Nome do arquivo: csec_ldap.html