有关在 Microsoft Active Directory 林中查找组成员资格的选项
要认证用户,需要在 Microsoft Active Directory 林中查找组成员资格。可以使用多种方式在 Microsoft Active Directory 林中查找组成员资格。
下图描述了 Microsoft Active Directory 林中的组成员资格的示例。此图用来说明用于查找组成员资格的方式。
图 1. 查找组成员资格。. 用来说明用于查找组成员资格的方式的一副插图。

- 选项 1 不使用嵌套组,下列步骤描述了使用假想的组织结构来查找组成员资格的过程。
- 创建全局组 NA 职员。
- 创建全局组 EU 职员。
- 将 Java™ Platform Enterprise Edition (Java EE) 角色映射至 NA 职员 + EU 职员。如果有太多子域,那么此映射可能会难以管理。
- 启用引荐。在 WebSphere® Application Server V6.1 中,使用联合存储库,具体来说:
- 使用联合领域。
- 将 Microsoft Active Directory 顶级域控制器添加至存储库。请勿添加子域控制器。这样做会导致在搜索用户标识时找到多个匹配项。存在多个匹配项会导致用户登录失败。
- 选择“支持对其他 LDAP 服务器的引荐”=“遵循”。
- 选项 2 使用通用组。
- 将各个用户放入通用组职员中。需求:
- 需要 Windows 2003 本机域功能级别。
- 用户标识必须直接包含在通用组中。
- 将 Java EE 角色映射至职员。
- 连接至林中的任何全局目录。提示: 此选项会减少目录查询流量。WebSphere Application Server 不必遵循目录树中的所有引荐。也就是说,每个域控制器可以完全在本地解析组信息。
- 将各个用户放入通用组职员中。
- 选项 3 使用嵌套组。
- 创建通用组职员。
- 创建 NA 职员和 EU 职员作为全局组,并使它们成为职员通用组中的成员。需求: Windows 本机域功能级别。
- 将 Java JEE 角色映射至“职员”。
- 启用引荐。对于 WebSphere Application Server V6.1,使用联合存储库,具体来说:
- 使用联合领域。
- 将 Active Directory 顶级域控制器添加至存储库。请勿添加子域控制器,因为这将导致搜索用户标识时产生多个匹配项,从而导致登录失败。
- 选择“支持对其他 LDAP 服务器的引荐”=“遵循”。
- 启用嵌套组。
提示: 使用 WebSphere Application Server V6.1 或更高版本时,此选项将提供最佳方法。在 WebSphere Application Server V6.1 之前,尚不正式支持引荐。
总结
下表总结了如何在 Microsoft Active Directory 林中查找组成员资格。组成员资格 | 将 Java EE 角色映射至 | 绑定至哪个 LDAP | 启用 | 在 WebSphere Application Server 版本中受支持 | 注释 |
---|---|---|---|---|---|
全局组 | 全局组集合 | 使用端口 389/636 的顶级域控制器 | 引荐 |
|
|
通用组 | 通用组 | 任何全局目录,使用端口 3268 | 全部 | ||
通用组中的全局组 | 通用组 | 使用端口 389/636 的顶级域控制器 | 引荐,嵌套 |
|
无法使用 Windows 混合域功能级别 |
进行配置以使用 objectCategory 属性
缺省情况下,联合存储库将 objectCategory 属性用于 Active Directory 用户搜索过滤器。您可以确保已配置联合存储库以使用 objectCategory 属性。例如,联合存储库配置文件 wimconfig.xml 应为以下示例中所示:<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
如以下示例所示配置用户过滤器和组过滤器(高级属性):
User Filter: (&(sAMAccountName=%v)(objectCategory=user))
Group Filter: (&cn=%v)(objectCategory=group)
在管理控制台中遵循下列指示信息以使用 objectCategory 属性来完成搜索过滤器:
- 单击安全性 > 全局安全性。
- 在“可用领域定义”下,选择联合存储库,然后单击配置。在多安全域环境中,单击安全域 > domain_name。在“安全性属性”下面,展开“用户领域”,然后单击为此域进行定制。 将领域类型选择为联合存储库,然后单击配置。
- 在“相关项”下,单击管理存储库。
- 选择林 > LDAP 实体类型 > PersonAccount。在“常规属性”下,查找搜索过滤器框。
- 填写搜索过滤器。
(objectCategory=user)
