Migrando um Repositório LDAP Independente para uma Configuração de Repositório LDAP de Repositórios Associados

Ao configurar a segurança para seu servidor de aplicativos, talvez você precise migrar um registro LDAP independente para uma configuração de repositório LDAP de repositórios associados.

Antes de Iniciar

Observe as especificações do repositório LDAP independente que deseja migrar para usar como referência ao configurar o repositório LDAP em repositórios associados. Para acessar estes campos, no console administrativo, clique em Segurança > Segurança Global e, em seguida, em Repositório da Conta do Usuário, selecione Registro LDAP Independente ou Repositórios Federados no campo Definições de Região Disponíveis e clique em Configurar. Para acessar estes campos em um ambiente com diversos domínios de segurança, clique em Segurança > Segurança Global > Domínios de Segurança > domain_name e, em seguida, em Atributos de Segurança, expanda Região do Usuário e clique em Customizar para este Domínio. Selecione o Tipo de região como Registro LDAP Independente ou Repositórios Federados e, em seguida, clique em Configurar.

Evitar Problemas Evitar Problemas: Se você não estiver familiarizado com como usar os atributos LDAP, especialmente os atributos de filtro do usuário e de filtro de grupo, entre em contato com seu administrador de LDAP para obter assistência na configuração de valores para estes atributos que são apropriados para seu sistema.gotcha

A tabela a seguir mostra os painéis e campos do console administrativo da configuração do repositório LDAP independente e seus campos correspondentes em uma configuração de repositório LDAP de repositórios associados para mapeamento.

Tabela 1. Mapeamento entre uma Configuração de Repositório LDAP Independente e uma Configuração de Repositório LDAP de Repositórios Associados. Esta tabela ilustra o mapeamento entre uma configuração de repositório LDAP independente e uma configuração de repositório LDAP de repositórios associados.
Configuração de repositório LDAP independente Repositório LDAP em uma Configuração com Repositórios Associados
Segurança global > Registro LDAP independente

Propriedades Gerais – Nome do Usuário Administrativo Principal

Segurança global > Repositórios associados

Propriedades Gerais – Nome do Usuário Administrativo Principal

Segurança global > Registro LDAP independente

Servidor LDAP – Tipo de Servidor LDAP

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Servidor LDAP – Tipo de Diretório

Segurança global > Registro LDAP independente

Servidor LDAP – Host

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Servidor LDAP – Nome do Host Principal

Segurança global > Registro LDAP independente

Servidor LDAP – Porta

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Servidor LDAP – Porta

Segurança global > Registro LDAP independente

Servidor LDAP – Hosts de Failover

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Servidor LDAP – Servidor de Failover Usado quando o Servidor Principal não está Disponível

Segurança global > Registro LDAP independente

Servidor LDAP – Nome Distinto de Base (DN)

Segurança global > Repositórios associados > Referência de repositório (Clique em Incluir entrada de base para região)

Propriedades Gerais – Nome Distinto de uma Entrada de Base que Identifica Exclusivamente este Conjunto de Entradas na Região

e a

Propriedades Gerais – Nome Distinto de uma Entrada de Base neste Repositório

Segurança global > Registro LDAP independente

Servidor LDAP – Tempo Limite da Procura

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID > Desempenho

Propriedades Gerais - Limitar Tempo de Procura

Segurança global > Registro LDAP independente

Servidor LDAP – Propriedades Customizadas

Segurança global > Repositórios associados > Propriedades customizadas
Segurança global > Registro LDAP independente

Servidor LDAP – Identidade do Usuário do Servidor

Segurança global > Repositórios associados

Propriedades Gerais – Identidade do Usuário do Servidor

Segurança global > Registro LDAP independente

Segurança – Nome Distinto da Ligação (DN)

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Segurança – Nome Distinto da Ligação

Segurança global > Registro LDAP independente

Segurança – Senha da Ligação

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Segurança – Senha da Ligação

Segurança global > Registro LDAP independente > Configurações avançadas de registro do usuário de Lightweight Directory Access Protocol (LDAP)

Propriedades Gerais – Filtro de Usuários do Kerberos

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Segurança – Atributo LDAP Usado para o Nome Principal do Kerberos

Segurança global > Registro LDAP independente > Configurações avançadas de registro do usuário de Lightweight Directory Access Protocol (LDAP)

Propriedades Gerais – Modo de Mapa do Certificado

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Segurança – Mapeamento do Certificado

Segurança global > Registro LDAP independente > Configurações avançadas de registro do usuário de Lightweight Directory Access Protocol (LDAP)

Propriedades Gerais – Filtro de Certificados

Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID

Segurança – Filtro de Certificados

O campo Nome da Região em Propriedades Gerais no painel Configuração de LDAP dos Repositórios Federados não é listado na tabela anterior porque não possui uma correspondência de um-para-um com um campo no painel Configuração de LDAP Independente. O nome do host e o número da porta representam o nome da região para o servidor LDAP independente na célula do WebSphere Application Server. Para obter informações sobre como alterar o nome da região, consulte o tópico Definições de Configuração da Região.

Os campos Filtro do Usuário, Filtro de Grupo, Mapa de ID do Usuário, Mapa de ID do Grupo e Mapa de ID do Membro do Grupo também não são listados na tabela anterior pois não possuem uma correspondência de um-para-um com campos no painel Configuração do Repositório LDAP de Repositórios Federados. Esses atributos LDAP são configurados de maneira diferente na configuração de repositório LDAP com repositórios associados e envolvem diversas etapas. Essas configurações são explicadas em detalhes nas seções e nos procedimentos a seguir.

Sobre Esta Tarefa

A migração de uma configuração de repositório LDAP independente para uma configuração de repositório LDAP de repositórios associados envolve a migração de parâmetros de configuração, sendo que a maioria é direta, conforme mostrado na Tabela 1 na seção anterior. A migração dos filtros de procura é uma parte importante da migração de uma configuração de repositório LDAP independente para uma configuração de repositório LDAP associado; portanto, o conceito e a migração de filtros de procura LDAP são descritos aqui com detalhes.

Os filtros de procura do registro LDAP independente seguem a sintaxe de filtro LDAP, em que você especifica o atributo em que a procura é baseada e seu valor.

O filtro de usuário é usado para procurar usuários no registro. Ele é usado para autenticar um usuário usando o atributo especificado no filtro.

O filtro de grupo é usado para procurar grupos no registro. Ele especifica a propriedade usada para procurar grupos.

Exemplos de filtros de usuários LDAP usados frequentemente: Nos exemplos de filtros de procura listados a seguir, %v é substituído pelo padrão de procura correspondente do usuário ou grupo no tempo de execução.

(&(uid=%v)(objectclass=ePerson))

Procura por usuários nos quais o atributo uid seja correspondente ao padrão de procura especificado da classe de objeto ePerson.

(&(cn=%v)(objectclass=user))

Procura por usuários nos quais o atributo cn seja correspondente ao padrão de procura especificado da classe de objeto do usuário.

(&(sAMAccountName=%v)(objectcategory=user))

Procura por usuários nos quais o atributo sAMAccountName seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.

(&(userPrincipalName=%v)(objectcategory=user))

Procura por usuários nos quais o atributo userPrinciplalName seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.

(&(mail=%v)(objectcategory=user))

Procura por usuários nos quais o atributo de correio seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.

(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))

Procura por usuários nos quais o atributo sAMAccountName ou userPrincipalName seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.

Exemplos de filtros de grupos usados frequentemente:

(&cn=%v)(objectCategory=group)

Consulta grupos com base em seus nomes comuns (cn).

(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

Consulta grupos com base em seus nomes comuns (cn) e usando a classe de objeto de groupOfNames ou de groupOfUniqueNames.

Conforme mostrado nesses exemplos, um filtro de procura de registro LDAP independente consiste em classes de objetos e atributos LDAP, e é com base neles que a procura ou login é executado.

Também é possível especificar os atributos e classes de objetos LDAP na configuração do adaptador LDAP dos repositórios associados, mas eles são configurados de maneira diferente e fornecem mais flexibilidade. Nos repositórios associados, o usuário é representado como o tipo de entidade PersonAccount e o grupo como o tipo de entidade Group. Cada tipo de entidade pode ter sua própria propriedade de RDN (Nome Distinto Relativo) (rdnProperties) e sua classe de objeto. Por exemplo, a propriedade de RDN padrão de PersonAccount é uid e a propriedade de RDN padrão de Group é cn. O mapeamento da classe de objeto padrão depende do tipo de servidor LDAP. Por exemplo, para o Tivoli Directory Server, a classe de objeto de PersonAccount é inetOrgPerson e a classe de objeto de Group é groupOfNames. PersonAccount também pode ter propriedades de login. Quando um usuário efetua login ou quando é executada uma procura por um usuário no registro do usuário, essas configurações de login são comparadas com o padrão. Por exemplo, se as propriedades de login forem uid e mail, para o padrão de procura, a*, todos os usuários correspondentes a uid=a* ou mail=a* serão retornados.

Evitar Problemas Evitar Problemas: É possível especificar o valor da propriedade Mapa do ID do Usuário (userIdMap) do repositório LDAP independente como a propriedade RDN (rdnProperties) ou a primeira propriedade de login (loginProperties) nos repositórios federados. Embora seja possível configurar a propriedade RDN e a propriedade de login nos repositórios federados, é suficiente se você configurar apenas a propriedade RDN. A propriedade de login é opcional e é necessário configurá-la somente se a propriedade de login é diferente da propriedade RDN ou se há mais de uma propriedade de login. Se a propriedade RDN e a propriedade de login forem configuradas, a propriedade de login terá precedência sobre a propriedade RDN.gotcha

A migração dos filtros de procura envolve uma ou mais das seguintes etapas: configuração as propriedades de login corretas, mapeamento dos atributos do repositório de backend para as propriedades dos repositórios associados, configuração da classe de objeto, configuração do filtro de procura usando a classe de objeto ou a categoria de objeto e configuração do atributo de membro ou de associação. O mapeamento e a configuração dos repositórios associados são mantidos no arquivo wimconfig.xml.

O filtro de procura de registro LDAP independente pode ser dividido em duas partes:
  • Filtro dos atributos de usuário ou grupo
  • Classe de objeto ou filtro da categoria de objeto de usuário ou grupo
Por exemplo, no filtro de procura, (&(cn=%v)(objectclass=user)):
  • O filtro do atributo é (cn=%v)
  • O filtro da classe de objeto é (objectclass=user)
Esses dois filtros são mapeados separadamente na configuração de repositórios associados:
  • O filtro do atributo é mapeado para a configuração das propriedades de RDN ou propriedades de login para o usuário e para a configuração das propriedades de RDN para o grupo.
  • O filtro da classe de objeto é mapeado para a configuração do tipo de entidade do adaptador LDAP.
O mapeamento do atributo padrão e da classe de objeto é configurado com base no tipo de servidor LDAP, mas talvez sejam necessárias etapas adicionais para a migração desses dois filtros:
  • Filtro do atributo:
    • Configuração de uma ou ambas as propriedades RDN e de login (se aplicável)
    • Mapeamento da propriedade do repositório associado para o atributo LDAP (se aplicável)
  • Filtro da classe de objeto:
    • Configuração da classe de objeto para o tipo de entidade (se aplicável)
    • Configuração do filtro de procura para o tipo de entidade (se aplicável)
Algumas das etapas do procedimento a seguir incluem dois exemplos. Nessas etapas:
  • O exemplo 1 é aplicável ao cenário em que você está migrando o filtro de procura (&(cn=%v)(objectclass=ePerson)) de um repositório LDAP do IBM Tivoli Directory Server independente para um repositório LDAP de repositórios associados com o identificador LDAPTDS.
  • O exemplo 2 é aplicável ao cenário em que você está migrando o filtro de procura (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) de um repositório LDAP do Microsoft Active Directory independente para um repositório LDAP de repositórios associados com o identificador LDAPAD. Os atributos sAMAccountName e userPrincipalName não são definidos em repositórios associados, portanto, esses atributos devem ser mapeados para propriedades de repositórios associados.

Procedimento

  1. Inclua o repositório LDAP que deseja migrar para a configuração com repositórios associados.

    Consulte a Tabela 1 na seção Antes de Iniciar deste tópico e siga as etapas descritas no tópico Configuring a single, Lightweight Directory Access Protocol repository in a new configuration under Federated repositories. Essas etapas incluem links para outros procedimentos que devem ser concluídos, como:

    • Inclusão de um repositório externo na configuração com repositório associado.
    • Configuração de tipos de entidades suportados na configuração de repositório associado.
    • Configuração do protocolo LDAP em uma configuração de repositório associado.

    Após a conclusão dessas etapas o repositório LDAP que você deseja migrar será configurado com sucesso na configuração de repositório associado.

  2. Configure as propriedades de login (se aplicável).

    As propriedades de login são os nomes de propriedades usados para efetuar logon no WebSphere Application Server. É possível especificar diversas propriedades de login usando o símbolo ponto e vírgula (;) como delimitador. As propriedades de repositórios associados geralmente usadas como propriedades de login são uid, cn, sn, givenName, mail e assim por diante.

    Para configurar as propriedades de login no console administrativo, siga as etapas do tópico Definições de Configuração do Repositório do Protocolo LDAP e aplique as configurações na seção Propriedades de Login.
    Exemplo 1: No campo Propriedades de Login, insira cn.
    Exemplo 2: No campo Propriedades de Login, insira uid;cn.

    Conclua a Etapa 3 para mapear essas propriedades para os atributos LDAP.

  3. Mapeie a propriedade do repositório associado para o atributo LDAP (se aplicável).
    Se o atributo LDAP não for um atributo de repositório associado, será necessário mapear a propriedade de login definida para o atributo LDAP.
    1. No console administrativo, clique em Segurança > Segurança global.
    2. No repositório Contas do Usuário, selecione Repositórios Federados no campo Definições de Região Disponíveis e clique em Configurar. Para configurar para um domínio específico em um ambiente com diversos domínios de segurança, clique em Domínios de Segurança > domain_name. Em Atributos de Segurança, expanda Região do Usuário e clique em Customizar para este domínio. Selecione o tipo de Região como Repositórios Federados e, em seguida, clique em Configurar.
    3. Em Itens Relacionados, clique em Gerenciar Repositórios > repository_ID e, em seguida, em Propriedades Adicionais, clique no link Atributos LDAP.
    4. Se o mapeamento de atributo existir, será necessário primeiro excluir o mapeamento existente para o atributo LDAP e, em seguida, incluir um novo mapeamento para o atributo. Selecione a caixa de seleção próxima do nome do atributo LDAP e clique em Excluir.
    5. Para incluir um mapeamento de atributo, clique em Incluir e selecione Suportado no menu suspenso. Insira o nome do atributo LDAP no campo Nome, o nome da propriedade de repositórios associados no campo Nome da Propriedade e o tipo de entidade que aplica o mapeamento de atributo no campo Tipos de Entidade.
    Exemplo 1: Como a propriedade cn do repositório associado é implicitamente mapeada para o atributo LDAP cn, nenhum mapeamento adicional é necessário.
    Exemplo 2: Aqui, o filtro de procura inclui dois atributos LDAP, sAMAccountName e userPrincipalName.
    • Para o tipo de servidor LDAP, Active Directory, o atributo LDAP sAMAccountName é mapeado por padrão para a propriedade de repositórios associados, uid, conforme mostrado na lista de atributos do painel de atributos LDAP. Portanto, não é necessário executar o comando addIdMgrLDAPAttr para incluir uma configuração de atributo para sAMAccountName.
    • Se existir um mapeamento de atributo para o atributo LDAP userPrincipalName, exclua o mapeamento de atributo existente antes de incluir uma nova configuração.
      1. Selecione a caixa de seleção ao lado de userPrincalName e clique em Excluir.
      2. Clique em Incluir e selecione Suportados no menu suspenso.
      3. No campo Nome, insira userPrincipalName.
      4. No campo Nome da Propriedade, insira cn.
      5. No campo Tipos de Entidade, insira PersonAccount.
  4. Configure a classe de objeto para um tipo de entidade (se aplicável).
    Evitar Problemas Evitar Problemas: Antes de executar esta etapa, verifique o mapeamento atual. Se o mapeamento da classe de objeto já estiver configurado, ignore esta etapa.gotcha
    Para configurar a classe de objeto para um tipo de entidade no console administrativo, siga as etapas do tópico Configurações dos Tipos de Entidade do Protocolo LDAP e aplique as configurações a seguir na seção Classes de Objeto:
    • Especifique PersonAccount como o nome do tipo de entidade para os filtros de usuários
    • Especifique Group como o nome do tipo de entidade para os filtros de grupo.
    Exemplo 1: No campo Tipo de Entidade, insira PersonAccount.

    No campo Classes de Objetos, insira ePerson.

    Exemplo 2: No campo Tipo de Entidade, insira PersonAccount.

    No campo Classes de Objetos, insira user.

  5. Configure o filtro de procura para o tipo de entidade (se aplicável).

    Os repositórios associados executam a procura com base na configuração da classe de objeto. Para alterar essa configuração padrão e usar a categoria do objeto como filtro, siga as etapas do tópico Configurações dos Tipos de Entidade do Protocolo LDAP e aplique as configurações na seção Filtro de Procura.

    Exemplo 1: Como a procura é baseada na classe de objeto, nenhuma configuração adicional é necessária.
    Exemplo 2: No campo Filtro de Procura, insira (objectcategory=user).
  6. Para migrar filtros de grupos, você deve configurar também as definições de atributo de grupo.

    As etapas para configuração das definições de atributo de grupo por meio do console administrativo são especificadas no tópico Localização das Associações do Grupo de Usuários em um Registro do Protocolo LDAP, na seção, Registro LDAP em um Registro de Repositórios Associados. Também é possível usar os comandos wsadmin addIdMgrLDAPGroupDynamicMemberAttr ou addIdMgrLDAPGroupMemberAttr que estão descritos no tópico Grupo de Comandos IdMgrRepositoryConfig para o Objeto AdminTask.

  7. Salve as mudanças na configuração
  8. Reinicie o servidor de aplicativos.

Resultados

Após a conclusão dessas etapas, o repositório LDAP estará configurado para uso na configuração de repositórios associados.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_migrate_standaloneldap
Nome do arquivo: twim_migrate_standaloneldap.html