Registros Lightweight Directory Access Protocol Independentes
Um registro LDAP (Lightweight Directory Access Protocol) independente executa autenticação utilizando uma ligação LDAP.
A segurança do WebSphere Application Server fornece e suporta a implementação da maioria dos principais servidores de diretório LDAP, que podem agir como repositório para informações de usuários e grupos. Estes servidores LDAP são chamados pelos processos do produto para autenticar um usuário e outras tarefas relacionadas à segurança. Por exemplo, os servidores são utilizados para recuperar informações sobre o usuário ou grupo. Esse suporte é fornecido utilizando diferentes filtros de usuários e grupos para obter as informações sobre os usuários e grupos. Esses filtros têm valores padrão que podem ser modificados para se ajustar a suas necessidades. O recurso LDAP personalizado permite utilizar qualquer outro servidor LDAP ,que não esteja na lista de produtos suportados de servidores LDAP, para seu registro de usuários utilizando os filtros apropriados.
É recomendável migrar de registros LDAP independentes para repositórios federados. Se você mover para o WebSphere Portal 6.1 e superior ou para o WebSphere Process Server 6.1 e superior, você deverá migrar para os repositórios federados antes desses upgrades. Para obter informações adicionais sobre repositórios federados e seus recursos, leia o tópico Repositórios Federados. Para obter informações adicionais sobre como migrar para repositórios federados, leia o tópico Migrando um Repositório LDAP Independente para uma Configuração de Repositório LDAP de Repositórios Federados.
Para utilizar o LDAP como o registro do usuário, é necessário conhecer um nome de usuário administrativo definido no registro, o host do servidor e a porta, o DN (nome distinto) base e, se necessário, o DN de ligação e a senha de ligação. É possível escolher qualquer usuário válido no registro que esteja disponível para pesquisa e que tenha privilégios administrativos. Em alguns servidores LDAP, os usuários administrativos não podem ser procurados nem utilizados, por exemplo, cn=root no SecureWay. Esse usuário é referido como ID do servidor de segurança do WebSphere Application Server, ID do servidor ou ID do usuário do servidor na documentação. Ser um ID de servidor significa que um usuário tem privilégios especiais ao chamar alguns métodos internos protegidos. Normalmente, esse ID e senha são utilizados para efetuar login no console administrativo quando a segurança for ativada. É possível utilizar outros usuários para efetuar login se os usuários fizerem parte das funções administrativas.
Quando a segurança está ativada no produto, o nome do usuário e a senha administrativos primários são autenticados com o registro durante a inicialização do produto. Se a autenticação falhar, o servidor não será iniciado. É importante escolher um ID e senha que não expirem ou mudem com frequência. Se o ID do usuário ou a senha do servidor do produto precisarem ser alterados no registro, certifique-se de que as alterações sejam executadas quando todos os servidores do produto estiverem operacionais e em execução.
Quando forem feitas alterações no registro, utilize as etapas descritas em Configurando Registros do Usuário do Lightweight Directory Access Protocol. Altere o ID, a senha e outras informações de configuração, salve, pare e reinicie todos os servidores para o novo ID ou senha sejam utilizados pelo produto. Se houver algum problema ao iniciar o produto quando a segurança estiver ativada, desative a segurança antes que o servidor seja inicializado. Para evitar estes problemas, certifique-se de que as alterações neste painel sejam validadas no painel Segurança Global. Quando o servidor estiver operacional, será possível alterar o ID, a senha e outras informações de configuração e, em seguida, ativar a segurança.
É possível utilizar o recurso LDAP (Lightweight Directory Access Protocol) customizado para suportar qualquer servidor LDAP, efetuando a configuração correta. Entretanto, o suporte não é estendido a esses servidores LDAP personalizados porque existem muitas possibilidades de configuração.
As informações de mapeamento da função de segurança e de usuários e grupos são utilizadas pelo mecanismo de autorização configurado para executar as decisões de controle de acesso.
![[z/OS]](../images/ngzos.gif)
- A autorização SAF (System Authorization Facility), utilizando os perfis EJBROLE ou GEJBROLE. O SAF substitui qualquer outro mecanismo de autorização.
- Tivoli Access Manager como um provedor JACC (Java™ Contract for Containers). Para obter mais informações, consulte Tivoli Access Manager integration as the JACC provider.
- Ligações de usuário para função, que são criadas pelo assembler de aplicativos ou pelo administrador de segurança do WebSphere Application Server.
![[z/OS]](../images/ngzos.gif)
- O SAF substitui qualquer outra opção de autorização, como o Tivoli Access Manager.
- Você deve configurar e instalar um módulo de mapeamento de login JAAS (Java Authentication and Authorization Service) que mapeie o LDAP ou uma identidade de registro customizado para um ID de usuário do SAF. Para obter mais informações, consulte Instalando e Configurando um Módulo de Mapeamento Customizado do System Authorization Facility para o WebSphere Application Server.