Utilizando Servidores Específicos de Diretório como o Servidor LDAP
São fornecidas informações importantes sobre os servidores de diretórios que são suportados como servidores Lightweight Directory Access Protocol (LDAP) no WebSphere Application Server.
Antes de Iniciar
Sobre Esta Tarefa
Espera-se que outros servidores LDAP sigam a especificação LDAP. O suporte é limitado apenas a esses servidores de diretório específicos. É possível utilizar qualquer outro servidor de diretórios, utilizando o tipo de diretório customizado na lista e preenchendo os filtros requeridos por esse diretório.
Para aprimorar o desempenho para procuras LDAP, os filtros padrão para o IBM® Tivoli Directory Server, Sun ONE e Active Directory são definidos de forma que, ao procurar um usuário, o resultado contenha todas as informações relevantes sobre o usuário (ID do usuário, grupos, etc.). Como resultado, o produto não chama o servidor LDAP várias vezes. Essa definição é possível somente nesses tipos de diretórios, que suportam pesquisas para as quais informações completas sobre usuários são obtidas.
Se você utilizar o IBM Directory Server, selecione a opção Ignorar Maiúsculas e Minúsculas para Autorização. Essa opção é necessária porque, quando as informações sobre o grupo são obtidas dos atributos de objeto do usuário, a caixa não é a mesma de quando você obtém as informações sobre o grupo diretamente. Para que a autorização de trabalho funcione nesse caso, faça uma verificação sem distinção entre maiúsculas e minúsculas e verifique o requisito da opção Ignorar Maiúsculas e Minúsculas para Autorização.
O Servidor de Segurança LDAP para a plataforma z/OS é
suportado quando o backend do TDBM (DB2 Technical Database Management) é
utilizado. Utilize os filtros do SecureWay Directory
Server para conectar-se com o Servidor de Segurança LDAP para plataforma z/OS.
Utilizando o Directory Services como o Servidor LDAP
Suporte para grupos que contêm outros grupos ou grupos aninhados depende das versões específicas do WebSphere Application Server e LDAP. Para obter informações adicionais, consulte o Dynamic groups and nested group support for LDAP.
- Utilizando o IBM Tivoli Directory
Server como o Servidor LDAP
Para utilizar o IBM Tivoli Directory Server, antigo IBM Directory Server, selecione o IBM Tivoli Directory Server como o tipo de diretório.
É possível selecionar o tipo de diretório do IBM Tivoli Directory Server ou SecureWay para o IBM Directory Server.
A diferença entre esses dois tipos é a consulta de filiação de grupo. É recomendável escolher o IBM Tivoli Directory Server para obter um desempenho ideal durante o tempo de execução. No IBM Tivoli Directory Server, a associação ao grupo é um atributo operacional. Como esse atributo, uma consulta de associação de grupo é feita enumerando o atributo ibm-allGroups para a entrada. Todas as associações de grupo, incluindo os grupos estáticos, grupos dinâmicos e grupos aninhados, podem ser retornadas com o atributo ibm-allGroups.
WebSphere Application Server suporta grupos dinâmicos, grupos aninhados e grupos estáticos em IBM Tivoli Directory Server usando o atributo ibm-allGroups. Para utilizar esse atributo em um aplicativo de autorização de segurança, utilize uma correspondência sem distinção de maiúsculas e minúsculas para que os valores do atributo retornados pelo atributo ibm-allGroups estejam todos em maiúsculas.
Importante: É recomendado que você não instale o IBM Tivoli Directory Server Versão 6.0 na mesma máquina que instalou o Versão 9.0. O IBM Tivoli Directory Server Versão 6.0 inclui o Versão 5.1.1, que o servidor de diretórios utiliza para seu console administrativo. Instale a ferramenta de administração da Web Versão 6.0 e o Versão 5.1.1, ambos são fornecidos com o IBM Tivoli Directory Server Versão 6.0, em uma máquina diferente do Versão 9.0. Não é possível usar o Versão 9.0 como console administrativo para IBM Tivoli Directory Server. Se o IBM Tivoli Directory Server Versão 6.0 e Versão 9.0 estiverem instalados na mesma máquina, você pode ter conflitos de porta.Se precisar instalar o IBM Tivoli Directory Server Versão 6.0 e o Versão 9.0 na mesma máquina, considere as seguintes informações:
- Durante o processo de instalação do IBM Tivoli Directory Server, você deve selecionar ambos, Ferramenta de administração da Web e Versão 5.1.1.
- Instale o Versão 9.0.
- Quando instalar o Versão 9.0, altere o número da porta do servidor de aplicativos.
- Pode ser necessário ajustar as variáveis de ambiente do WebSphere Application Server no Versão 9.0 para WAS_HOME e WAS_INSTALL_ROOT (ou APP_SERVER_ROOT para IBM i). Para alterar as variáveis utilizando o console administrativo, clique em Ambiente > Variáveis do WebSphere.
- Utilizando um Lotus Domino Enterprise
Server como o Servidor LDAPSe você selecionar o Lotus Domino Enterprise Server Versão 6.5.4 ou Versão 7.0 e o nome abreviado do atributo não estiver definido no esquema, execute uma das seguintes ações:
- Alterar o esquema para incluir o nome abreviado do atributo.
- Alterar o filtro de mapeamento de IDs do usuário para substituir o nome abreviado por qualquer outro atributo definido (preferivelmente para UID). Por exemplo, altere person:shortname para person:uid.
O filtro de mapa de userID é alterado para utilizar o atributo uid, em vez do atributo shortname, pois a versão atual do Lotus Domino não cria o atributo shortname por padrão. Se desejar utilizar o atributo shortname, defina o atributo no esquema e altere o filtro de mapa de ID do usuário.Mapa de IDs do Usuário: person:shortname
- Utilizando o Sun ONE Directory Server como o Servidor LDAPÉ possível selecionar Sun ONE Directory Server para seu sistema Sun ONE Directory Server. No Sun ONE Directory Server, a classe de objeto é o groupOfUniqueName padrão quando um grupo é criado. Para um melhor desempenho, o WebSphere Application Server utilize o objeto de Usuário para localizar a associação de grupo de usuários do atributo nsRole. Crie o grupo a partir da função. Se desejar utilizar o atributo groupOfUniqueName para procurar grupos, especifique sua própria definição de filtro. As funções unificam as entradas. As funções são projetadas para serem mais eficientes e fáceis de utilizar para aplicativos. Por exemplo, um aplicativo pode localizar a função de uma entrada, enumerando todas as funções pertencentes a uma determinada entrada, em vez de selecionar um grupo e procurar na lista de membros. Ao utilizar funções, é possível criar um grupo utilizando:
- Função gerenciada
- Função filtrada
- Função aninhada
- Utilizando o Servidor Microsoft Active Directory como o Servidor LDAP
Para usar o Microsoft Active Directory como o servidor LDAP para autenticação com o WebSphere Application Server você deve seguir etapas específicas. Por padrão, o Microsoft Active Directory não permite consultas LDAP anônimas. Para criar consultas LDAP ou procurar o diretório, um cliente LDAP deve vincular-se ao servidor LDAP utilizando o DN (nome distinto) de uma conta que tenha autoridade para procurar e ler os valores dos atributos LDAP, como informações de usuário e de grupo, necessárias ao Servidor de Aplicativos. Uma procura de associação de grupo no Active Directory é feita enumerando o atributo memberof para uma determinada entrada do usuário, em vez de procurar na lista de membros de cada grupo. Se você alterar o comportamento padrão para procurar em cada grupo, poderá alterar o campo Mapa de ID de Membro do Grupo de memberof:member para group:member.
As etapas a seguir descrevem como configurar o Microsoft Active Directory como o servidor LDAP.