Selecionando um Registro ou Repositório
As informações sobre usuários e grupos residem em um registro de usuários. Em WebSphere Application Server, um registro do usuário autentica um usuário e recupera as informações sobre usuário e grupos para executar funções relacionadas à segurança, inclusive autenticação e autorização.
Antes de Iniciar
Antes de configurar o registro do usuário ou o repositório, decida qual registro do usuário ou repositório utilizar. É possível configurar um registro padrão ativo para a célula.
Sobre Esta Tarefa
O WebSphere Application Server fornece implementações que suportam diversos tipos de registros e repositórios, incluindo o registro do sistema operacional local, um registro de Lightweight Directory Access Protocol (LDAP) independente, um registro customizado independente, e repositórios federados.
Com oWebSphere Application Server, um registro de usuário ou um repositório, como um repositório federado, autentica um usuário e recupera informações sobre usuários e grupos para executar funções relativas à segurança, incluindo autenticação e autorização.
- Autenticar um usuário utilizando a autenticação básica, asserção de identidade ou certificados clientes
- Recuperar informações sobre usuários e grupos para execução das funções administrativas relacionadas à segurança, como mapeamento de usuários e grupos para as funções de segurança
O WebSphere Application Server é projetado com o recurso para suportar diversos sistemas operacionais ou registros de usuário baseados em ambiente operacional, como o registro SAF doz/OS, e a maioria dos principais registros baseados em Lightweight Directory Access Protocol (LDAP). É possível utilizar o recurso de LDAP customizado para suportar qualquer servidor LDAP definindo as informações de configuração corretas, como filtros de usuário e grupo. Entretanto, o suporte não é estendido a esses
servidores LDAP personalizados porque existem muitas possibilidades que não
podem ser testadas.
Configurar o registro ou repositório correto é um
pré-requisito para atribuir usuários e grupos a funções para aplicativos. Por padrão, quando um registro do usuário ou repositório não estiver configurado, o
registro do usuário baseado em SAF do sistema operacional local será utilizado. Se sua opção do registro do usuário ou repositório não for o sistema operacional local, você deve primeiro configurar o registro do usuário ou repositório.
A configuração do registro do usuário ou repositório é normalmente realizada como parte da ativação da segurança administrativa, reiniciando os servidores e, em seguida, designando usuários e grupos para funções para todos seus aplicativos.
Além do sistema operacional local, o LDAP, e os registros Repositório federado, o WebSphere Application Server também fornece um plug-in para suportar qualquer registro usando o recurso de registro customizado. O recurso de registro customizado possibilita configurar qualquer registro de usuário que não esteja disponível por meio dos painéis de configuração de segurança do WebSphere Application Server.
Configurar o registro ou repositório correto é um pré-requisito para atribuir usuários e grupos a funções para aplicativos. Quando um registro do usuário ou repositório não estiver configurado, por padrão, será utilizado o registro do sistema operacional local. Se sua opção de registro do usuário não for o registro do sistema operacional local, primeiro, será necessário configurar o registro ou repositório que, normalmente, é feito como parte da ativação da segurança, reiniciar os servidores e, em seguida, designar usuários e grupos a funções para todos os seus aplicativos.
- Repositório federado
- Sistema operacional local
como o baseado em SAF
Restrição: Configurar um servidor LDAP transparente sob o registro do sistema operacional local e fazer com que a autenticação de usuários ocorra por meio do sistema operacional local usando LDAP não é suportado. - Registro LDAP (Lightweight Directory Access Protocol) independente
- Registro customizado independente
// Recupera o InitialContext padrão para esse servidor.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();
// Recupera o objeto UserRegistry local.
com.ibm.websphere.security.UserRegistry reg =
(com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");
// Recupera o uniqueID do registro com base no userName especificado
// no NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Dividir o nome da região e obter o uniqueID real
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);
// Recupera o nome da segurança do registro do usuário com base no uniqueID.
String securityName = reg.getUserSecurityName(uid);
É possível utilizar uma SPI (Service Provider Interface) para essa função de
análise. $AdminApp deleteUserAndGroupEntries yourAppName
em que yourAppName é o nome do aplicativo. É aconselhável fazer backup do antigo aplicativo antes de executar essa operação. Entretanto, se as duas condições a seguir forem verdadeiras, você pode conseguir alternar
os registros sem ter que excluir as informações dos usuários e dos grupos: - Todos os nomes de usuários e grupos, incluindo a senha para usuários da função RunAs, em todos os aplicativos correspondem aos dois registros do usuário.
- O arquivo de ligações de aplicativos não contém os IDs de acesso exclusivos para cada registro do usuário, mesmo para o mesmo nome de usuário ou de grupo.
Por padrão, um aplicativo não contém IDs de acesso no arquivo de ligações. Estes IDs são gerados quando os aplicativos são iniciados. No entanto, se você tiver migrado um aplicativo existente de um release anterior, ou se tiver utilizado o script wsadmin para incluir IDs de acesso para os aplicativos para aprimorar o desempenho, será necessário remover as informações sobre usuários e grupos existentes e incluí-las após a configuração do novo registro do usuário.
Para obter mais informações sobre a atualização de IDs de acesso, consulte IDs updateAccess no artigo Comandos para o Objeto AdminApp.
![[AIX]](../images/aixlogo.gif)
- ˋ
- #
- =
- \
- :
- "
- ,
- /
- ?
- '
- Um caractere de espaço
Para obter uma lista abrangente dos caracteres não-alfanuméricos que não são suportados, consulte a documentação do sistema operacional IBM AIX.
![[HP-UX]](../images/hpux.gif)
- ˋ
- :
- "
- /
- Um caractere de espaço
Execute uma das seguintes etapas para configurar o seu registro de usuário:
Procedimento
- Configurando Registros do Sistema Operacional Local
- Configurando Registros do Usuário do Lightweight Directory Access Protocol
- Configurando registros customizados independentes.
- Gerenciando a Região em uma Configuração de Repositório Federado
O que Fazer Depois
- Se você estiver ativando a segurança, certifique-se de concluir as demais etapas. Verifique se o repositório de conta do usuário no painel Segurança Global está definido como o registro ou repositório apropriado. Como etapa final, valide o ID do usuário e a senha clicando em Aplicar no painel Segurança Global. Salve, pare ou inicie todos os WebSphere Application Server.
- Para que qualquer alteração nos painéis de registro do usuário seja efetivada,
valide as alterações clicando em Aplicar no painel Segurança Global. Após a validação, salve a configuração e para e inicie todos os WebSphere Application Servers, incluindo as células, nós e todos os servidores de aplicativos. Para evitar inconsistências entre os processos do WebSphere Application Server, certifique-se de que quaisquer mudanças no registro ou repositório sejam feitas quando todos os processos estiverem executando. Se algum dos processos estiver inativo, force a sincronização para assegurar que o
processo possa ser ativado posteriormente.
Se o servidor ou servidores iniciarem sem problemas, a configuração está correta.
Se o SAF (System Authorization Facility), por meio do sistema operacional local, for selecionado como registro ou repositório, os valores no arquivo de ligações serão ignorados com exceção do ID e senha do usuário (ou frase de senha) para usuários da função RunAs.