要通过轻量级目录访问协议 (LDAP) 访问用户注册表,您必须知道有效用户名(标识)和密码、注册表服务器的服务器主机和端口以及基本专有名称 (DN),必要时还必须知道绑定 DN 和绑定密码。您可以选择可搜索用户注册表中的任何有效用户。可以使用任何具有管理角色来登录的用户标识。
开始之前
注: 本主题引用了一个或多个应用程序服务器日志文件。作为另一种建议采用的方法,您可以在分布式系统和 IBM® i 系统上配置服务器以使用高性能可扩展日志记录 (HPEL) 记录和跟踪基础结构,而不使用 SystemOut.log、SystemErr.log、trace.log 和 activity.log 文件。您还可以将 HPEL 与本机 z/OS® 日志记录设施结合使用。如果要使用 HPEL,那么可从服务器概要文件
bin 目录使用 LogViewer 命令行工具来访问所有日志和跟踪信息。有关使用
HPEL 的更多信息,请参阅有关使用 HPEL 对应用程序进行故障诊断的信息。
共有两个不同的身份用于安全性用途:用于管理功能的用户标识以及服务器标识。如果管理安全性处于启用状态,那么用于管理功能的用户标识和密码将向注册表进行认证。如果认证失败,那么不授予管理控制台访问权或者不完成使用 wsadmin 脚本执行的任务。选择未到期或者不经常更改的标识和密码至关重要。如果需要在注册表中更改此用户标识或密码,请确保在所有应用程序服务器都已启动并正在运行时执行更改。要对注册表进行更改时,请先查看有关独立轻量级目录访问协议注册表 (LDAP) 的文章,然后再开始执行本任务。
服务器标识用于进行内部进程通信。在本任务中,您可以将服务器标识由自动生成的缺省标识更改为 LDAP 存储库中的服务器标识和密码。
过程
- 在管理控制台中,请单击。
- 在“用户帐户存储库”下,单击可用的领域定义下拉列表,选择独立 LDAP 注册表,然后单击配置。
- 在主管理用户名字段中输入有效用户名。 通常,用户名是用户的短名称,并由“高级 LDAP 设置”面板中的用户过滤器定义。
- 确定是否指定用于执行内部进程通信的用户标识。 包含 V5.1 或 6.x 节点的单元需要活动用户存储库中定义的服务器用户标识。缺省情况下,自动生成的服务器标识选项处于可用状态,并且应用程序服务器会生成服务器标识。但是,您可以选择存储在存储库中的服务器身份选项以同时指定服务器标识及其相关联的密码。
- 从类型列表中选择要使用的 LDAP 服务器类型。 LDAP 服务器类型确定 WebSphere® Application Server 使用的缺省过滤器。这些缺省过滤器将类型字段更改为定制,这表示已使用定制过滤器。此操作是您在“高级 LDAP”设置面板中单击确定或应用后执行的。从列表选择定制,如果需要,修改用户和组过滤器,以使用其他 LDAP 服务器。
IBM Tivoli® Directory Server 用户可以选择
IBM Tivoli Directory Server 作为目录类型。请使用
IBM Tivoli Directory Server
目录类型以提高性能。
注意: 在 WebSphere Application Server V6.1 中,已将 IBM SecureWay Directory Server
重命名为 IBM Tivoli Directory Server。
- 在主机字段中输入 LDAP 服务器的标准主机名。 可以输入 IP 地址,也可以输入域名系统 (DNS) 名称。
- 在端口字段中输入 LDAP 服务器端口号。 主机名和端口号表示此 LDAP 服务器在 WebSphere Application Server 单元中所在的领域。因此,如果不同单元中的服务器使用轻量级第三方认证 (LTPA) 令牌来互相通信,那么这些领域必须在所有单元中完全匹配。
缺省值为 389。如果已安装多个 WebSphere Application Server
并将他们配置成在同一个单点登录域中运行,或者 WebSphere Application Server 将与前一个版本的
WebSphere Application Server
进行互操作,那么将端口号与所有配置相匹配十分重要。例如,如果在
V5.x 配置中明确地将 LDAP 端口指定为 389,并且 WebSphere Application Server V6.0.x
将与该 V5.x 服务器进行互操作,那么验证对 V6.0.x 服务器明确指定了端口 389。
您可以设置 com.ibm.websphere.security.ldap.logicRealm 定制属性,以更改放在令牌中的领域名的值。有关更多信息,请参阅“安全性定制属性”主题。
- 在基本专有名称字段中输入基本专有名称 (DN)。 基本 DN 指示在此 LDAP 目录服务器中执行搜索时的开始点。例如,对于 DN 为 cn=John Doe, ou=Rochester, o=IBM, c=US 的用户,将基本 DN
指定为下列任何一个选项,假定后缀为 c=us:
- ou=Rochester, o=IBM, c=us
- o=IBM, c=us
- c=us
为了进行授权,此字段在缺省情况下是区分大小写的。请指定与目录服务器中的大小写相匹配的内容。如果接收到令牌,例如从另一个单元或 Lotus® Domino®
接收到令牌,那么服务器中的基本 DN 必须与那个单元或 Domino 中的基本 DN
完全匹配。如果授权时不考虑区分大小写,那么启用授权时忽略大小写选项。在
WebSphere Application Server 中,将根据轻量级目录访问协议 (LDAP)
规范将专有名称规范化。规范化处理指的是移除基本专有名称中逗号和等号前后的空格。非规范化基本专有名称的示例为 o = ibm, c = us 或 o=ibm, c=us。规范化基本专有名称示例为 o=ibm,c=us。
为了在 WebSphere Application Server V6.0
与更高版本之间进行互操作,必须在基本专有名称字段中输入规范的基本专有名称。在 WebSphere Application Server V6.0 或更高版本中,规范化是在运行时自动进行的。
对于除 Lotus Domino Directory 以外的所有 LDAP 目录,此字段是必需的。基本专有名称字段对于 Domino 服务器来说是可选的。
- 可选: 在绑定专有名称字段中输入绑定 DN 名。 如果在 LDAP 服务器上不可能执行匿名绑定,那么需要绑定 DN 才能获取用户和组信息。如果已将 LDAP 服务器设置为使用匿名绑定,请将此字段留空。如果未指定名称,那么应用程序服务器以匿名方式执行绑定。请参阅基本专有名称字段的描述以获取专有名称的示例。
- 可选: 在Bind 密码字段中输入与绑定 DN 对应的密码。
- 可选: 修改“搜索超时”值。 此超时值是 LDAP 服务器在停止请求前等待发送响应到产品客户机的最大时间段。缺省值为 120 秒。
- 确保选中了复用连接选项。 此选项指定服务器应当复用 LDAP 连接。只应该在下面这种罕见情况下清除此选项:使用路由器将请求发送到多个 LDAP 服务器,而该路由器不支持亲缘关系。对于所有其他情况,请保留此选项处于选中状态。
- 可选: 验证已启用授权时忽略大小写选项。 启用此选项后,授权检查不区分大小写。通常,授权检查涉及检查用户的完整 DN(它在 LDAP 服务器中是唯一的),并区分大小写。但是,在使用
IBM Directory Server 或 Sun ONE(旧称 iPlanet)Directory Server LDAP 服务器时,由于从 LDAP 服务器获取的组信息在大小写方面不一致,所以必须启用此选项。这种不一致情况只影响授权检查。
否则,此字段是可选的,可以在需要进行区分大小写的授权检查时启用此字段。例如,当您使用证书,但证书内容与 LDAP 服务器中条目的大小写不匹配时,可以选择此字段。
在本产品与
Lotus Domino 之间使用单点登录 (SSO) 功能时,也可以启用授权时忽略大小写选项。缺省是启用。
- 可选: 如果要对 LDAP 服务器使用安全套接字层通信功能,请选中启用 SSL 选项。
要点: 只有先将 LDAP 的签署者证书添加到最终将要使用的信任库,此步骤才能成功。如果未将 LDAP 的签署者证书添加到信任库,那么:
- 管理控制台将发出错误。
- Deployment Manager (DMGR) 的 systemout.log 将包含 CWPKI0022E: SSL HANDSHAKE FAILURE 消息,此消息表明需要将签署者证书添加到信任库中。
要确保此步骤在不出错的情况下完成操作,您必须先将 LDAP 的签署者证书抽取到一个文件中,然后将该文件发送到
WebSphere Application Server 机器。接着,可以将该证书添加到正在为 LDAP 定义的信任库。这样,就可以保证此步骤的其余操作成功。
如果选择
启用 SSL 选项,那么可以选择
集中管理或
使用特定 SSL 别名选项。
- 集中管理
- 使您能够在一个位置为特定范围(例如单元、节点、服务器或集群)指定 SSL 配置。要使用集中管理选项,必须为一组特定的端点指定 SSL 配置。“管理端点安全性配置和信任区域”面板显示了所有使用 SSL 协议的入站端点和出站端点。如果展开此面板的“入站”或“出站”部分并单击节点名,那么可指定用于该节点上每个端点的 SSL 配置。对于 LDAP 注册表,可以通过为 LDAP 指定 SSL 配置来覆盖继承的 SSL 配置。要为 LDAP 指定 SSL 配置,请完成下列步骤:
- 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置和信任区域。
- 展开出站 > cell_name > 节点 > node_name > 服务器 > server_name > LDAP。
- 使用特定 SSL 别名
- 如果您打算在菜单中选择其中一个 SSL 配置,请选择使用特定 SSL 别名选项。
仅当对 LDAP 启用了 SSL 时才会使用此配置。缺省值为
DefaultSSLSettings。您可以单击现有配置的名称以对其进行修改,也可以完成下列步骤以创建新的 SSL 配置:
- 单击安全性 > SSL 证书和密钥管理。
- 在“配置设置”下,单击管理端点安全性配置。
- 选择所选范围(例如单元、节点、服务器或集群)的安全套接字层 (SSL) configuration_name。
- 在“相关项”下,单击 SSL 配置。
- 单击新建。
- 单击确定或应用,直到您返回到“全局安全性”面板,然后在“全局安全性”页面上,单击保存以确保保存 LDAP 配置。
- 检查可用的领域定义是否设置为独立 LDAP 注册表。如果未设置,请从下拉列表中选择该选项,单击设置为当前,然后按应用。
结果
要设置 LDAP 用户注册表,需执行这组步骤。在 WebSphere Application Server 中启用安全性的过程中,必须执行这些步骤。
下一步做什么
- 如果正在启用安全性,请完成对领域启用安全性中指定的余下步骤。
如果要将系统授权工具 (SAF) 授权功能与 LDAP 注册表配合使用,请参阅操作系统级别和应用程序级别的系统授权工具注意事项以了解更多信息。
- 保存更改,停止所有产品服务器(Deployment Manager、节点和 Application Server),然后重新启动他们以使此面板中的更改生效。如果启动服务器时未发生任何问题,那么表示设置正确。