Migrando um Repositório LDAP Independente para uma Configuração de Repositório LDAP de Repositórios Associados
Ao configurar a segurança para seu servidor de aplicativos, talvez você precise migrar um registro LDAP independente para uma configuração de repositório LDAP de repositórios associados.
Antes de Iniciar
Observe as especificações do repositório LDAP independente que deseja migrar para usar como referência ao configurar o repositório LDAP em repositórios associados. Para acessar estes campos, no console administrativo, clique em Segurança > Segurança Global e, em seguida, em Repositório da Conta do Usuário, selecione Registro LDAP Independente ou Repositórios Federados no campo Definições de Região Disponíveis e clique em Configurar. Para acessar estes campos em um ambiente com diversos domínios de segurança, clique em Segurança > Segurança Global > Domínios de Segurança > domain_name e, em seguida, em Atributos de Segurança, expanda Região do Usuário e clique em Customizar para este Domínio. Selecione o Tipo de região como Registro LDAP Independente ou Repositórios Federados e, em seguida, clique em Configurar.

A tabela a seguir mostra os painéis e campos do console administrativo da configuração do repositório LDAP independente e seus campos correspondentes em uma configuração de repositório LDAP de repositórios associados para mapeamento.
Configuração de repositório LDAP independente | Repositório LDAP em uma Configuração com Repositórios Associados |
---|---|
Segurança global > Registro LDAP independente Propriedades Gerais – Nome do Usuário Administrativo Principal |
Segurança global > Repositórios associados Propriedades Gerais – Nome do Usuário Administrativo Principal |
Segurança global > Registro LDAP independente Servidor LDAP – Tipo de Servidor LDAP |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Servidor LDAP – Tipo de Diretório |
Segurança global > Registro LDAP independente Servidor LDAP – Host |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Servidor LDAP – Nome do Host Principal |
Segurança global > Registro LDAP independente Servidor LDAP – Porta |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Servidor LDAP – Porta |
Segurança global > Registro LDAP independente Servidor LDAP – Hosts de Failover |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Servidor LDAP – Servidor de Failover Usado quando o Servidor Principal não está Disponível |
Segurança global > Registro LDAP independente Servidor LDAP – Nome Distinto de Base (DN) |
Segurança global > Repositórios associados > Referência de repositório (Clique em Incluir entrada de base para região) Propriedades Gerais – Nome Distinto de uma Entrada de Base que Identifica Exclusivamente este Conjunto de Entradas na Região e a Propriedades Gerais – Nome Distinto de uma Entrada de Base neste Repositório |
Segurança global > Registro LDAP independente Servidor LDAP – Tempo Limite da Procura |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID > Desempenho Propriedades Gerais - Limitar Tempo de Procura |
Segurança global > Registro LDAP independente Servidor LDAP – Propriedades Customizadas |
Segurança global > Repositórios associados > Propriedades customizadas |
Segurança global > Registro LDAP independente Servidor LDAP – Identidade do Usuário do Servidor |
Segurança global > Repositórios associados Propriedades Gerais – Identidade do Usuário do Servidor |
Segurança global > Registro LDAP independente Segurança – Nome Distinto da Ligação (DN) |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Segurança – Nome Distinto da Ligação |
Segurança global > Registro LDAP independente Segurança – Senha da Ligação |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Segurança – Senha da Ligação |
Segurança global > Registro LDAP independente > Configurações avançadas de registro do usuário de Lightweight Directory Access Protocol (LDAP) Propriedades Gerais – Filtro de Usuários do Kerberos |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Segurança – Atributo LDAP Usado para o Nome Principal do Kerberos |
Segurança global > Registro LDAP independente > Configurações avançadas de registro do usuário de Lightweight Directory Access Protocol (LDAP) Propriedades Gerais – Modo de Mapa do Certificado |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Segurança – Mapeamento do Certificado |
Segurança global > Registro LDAP independente > Configurações avançadas de registro do usuário de Lightweight Directory Access Protocol (LDAP) Propriedades Gerais – Filtro de Certificados |
Segurança global > Repositórios associados > Gerenciar repositórios > repository_ID Segurança – Filtro de Certificados |
O campo Nome da Região em Propriedades Gerais no painel Configuração de LDAP dos Repositórios Federados não é listado na tabela anterior porque não possui uma correspondência de um-para-um com um campo no painel Configuração de LDAP Independente. O nome do host e o número da porta representam o nome da região para o servidor LDAP independente na célula do WebSphere Application Server. Para obter informações sobre como alterar o nome da região, consulte o tópico Definições de Configuração da Região.
Os campos Filtro do Usuário, Filtro de Grupo, Mapa de ID do Usuário, Mapa de ID do Grupo e Mapa de ID do Membro do Grupo também não são listados na tabela anterior pois não possuem uma correspondência de um-para-um com campos no painel Configuração do Repositório LDAP de Repositórios Federados. Esses atributos LDAP são configurados de maneira diferente na configuração de repositório LDAP com repositórios associados e envolvem diversas etapas. Essas configurações são explicadas em detalhes nas seções e nos procedimentos a seguir.
Sobre Esta Tarefa
A migração de uma configuração de repositório LDAP independente para uma configuração de repositório LDAP de repositórios associados envolve a migração de parâmetros de configuração, sendo que a maioria é direta, conforme mostrado na Tabela 1 na seção anterior. A migração dos filtros de procura é uma parte importante da migração de uma configuração de repositório LDAP independente para uma configuração de repositório LDAP associado; portanto, o conceito e a migração de filtros de procura LDAP são descritos aqui com detalhes.
Os filtros de procura do registro LDAP independente seguem a sintaxe de filtro LDAP, em que você especifica o atributo em que a procura é baseada e seu valor.
O filtro de usuário é usado para procurar usuários no registro. Ele é usado para autenticar um usuário usando o atributo especificado no filtro.
O filtro de grupo é usado para procurar grupos no registro. Ele especifica a propriedade usada para procurar grupos.
(&(uid=%v)(objectclass=ePerson))
Procura por usuários nos quais o atributo uid seja correspondente ao padrão de procura especificado da classe de objeto ePerson.
(&(cn=%v)(objectclass=user))
Procura por usuários nos quais o atributo cn seja correspondente ao padrão de procura especificado da classe de objeto do usuário.
(&(sAMAccountName=%v)(objectcategory=user))
Procura por usuários nos quais o atributo sAMAccountName seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.
(&(userPrincipalName=%v)(objectcategory=user))
Procura por usuários nos quais o atributo userPrinciplalName seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.
(&(mail=%v)(objectcategory=user))
Procura por usuários nos quais o atributo de correio seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.
(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))
Procura por usuários nos quais o atributo sAMAccountName ou userPrincipalName seja correspondente ao padrão de procura especificado da categoria de objeto do usuário.
Exemplos de filtros de grupos usados frequentemente:
(&cn=%v)(objectCategory=group)
Consulta grupos com base em seus nomes comuns (cn).
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
Consulta grupos com base em seus nomes comuns (cn) e usando a classe de objeto de groupOfNames ou de groupOfUniqueNames.
Conforme mostrado nesses exemplos, um filtro de procura de registro LDAP independente consiste em classes de objetos e atributos LDAP, e é com base neles que a procura ou login é executado.
Também é possível especificar os atributos e classes de objetos LDAP na configuração do adaptador LDAP dos repositórios associados, mas eles são configurados de maneira diferente e fornecem mais flexibilidade. Nos repositórios associados, o usuário é representado como o tipo de entidade PersonAccount e o grupo como o tipo de entidade Group. Cada tipo de entidade pode ter sua própria propriedade de RDN (Nome Distinto Relativo) (rdnProperties) e sua classe de objeto. Por exemplo, a propriedade de RDN padrão de PersonAccount é uid e a propriedade de RDN padrão de Group é cn. O mapeamento da classe de objeto padrão depende do tipo de servidor LDAP. Por exemplo, para o Tivoli Directory Server, a classe de objeto de PersonAccount é inetOrgPerson e a classe de objeto de Group é groupOfNames. PersonAccount também pode ter propriedades de login. Quando um usuário efetua login ou quando é executada uma procura por um usuário no registro do usuário, essas configurações de login são comparadas com o padrão. Por exemplo, se as propriedades de login forem uid e mail, para o padrão de procura, a*, todos os usuários correspondentes a uid=a* ou mail=a* serão retornados.

A migração dos filtros de procura envolve uma ou mais das seguintes etapas: configuração as propriedades de login corretas, mapeamento dos atributos do repositório de backend para as propriedades dos repositórios associados, configuração da classe de objeto, configuração do filtro de procura usando a classe de objeto ou a categoria de objeto e configuração do atributo de membro ou de associação. O mapeamento e a configuração dos repositórios associados são mantidos no arquivo wimconfig.xml.
- Filtro dos atributos de usuário ou grupo
- Classe de objeto ou filtro da categoria de objeto de usuário ou grupo
- O filtro do atributo é (cn=%v)
- O filtro da classe de objeto é (objectclass=user)
- O filtro do atributo é mapeado para a configuração das propriedades de RDN ou propriedades de login para o usuário e para a configuração das propriedades de RDN para o grupo.
- O filtro da classe de objeto é mapeado para a configuração do tipo de entidade do adaptador LDAP.
- Filtro do atributo:
- Configuração de uma ou ambas as propriedades RDN e de login (se aplicável)
- Mapeamento da propriedade do repositório associado para o atributo LDAP (se aplicável)
- Filtro da classe de objeto:
- Configuração da classe de objeto para o tipo de entidade (se aplicável)
- Configuração do filtro de procura para o tipo de entidade (se aplicável)
- O exemplo 1 é aplicável ao cenário em que você está migrando o filtro de procura (&(cn=%v)(objectclass=ePerson)) de um repositório LDAP do IBM Tivoli Directory Server independente para um repositório LDAP de repositórios associados com o identificador LDAPTDS.
- O exemplo 2 é aplicável ao cenário em que você está migrando o filtro de procura (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) de um repositório LDAP do Microsoft Active Directory independente para um repositório LDAP de repositórios associados com o identificador LDAPAD. Os atributos sAMAccountName e userPrincipalName não são definidos em repositórios associados, portanto, esses atributos devem ser mapeados para propriedades de repositórios associados.