LDAP 的动态组和嵌套组支持
动态组和嵌套组简化了 WebSphere® Application Server 安全性管理,并增加了其有效性和灵活性。
动态组包含组名和成员资格条件:
- 组成员资格信息与用户对象的信息一样新。
- 不需要手动维护组对象上的成员。
- 设计了动态组,因此,应用程序不需要从目录中获取大量信息就可以知道某个人是否是组的成员。
嵌套组允许创建用于定义继承的组成员资格的分层关系。嵌套组定义为子组条目,其专有名称 (DN) 由父组条目属性来引用。
如果所有嵌套组共享同一特权,那么您仅需要指定更大的父组。通过对单个父组指定角色可以简化运行时授权表。
IBM Tivoli Directory Server 的动态组和嵌套组支持
当使用 IBM® Tivoli® Directory Server 时,WebSphere Application Server 支持所有“轻量级目录访问协议”(LDAP) 动态组和嵌套组。缺省情况下,通过利用 IBM Tivoli Directory Server 中的新功能来启用此功能。IBM Tivoli Directory Server 使用 ibm-allGroups 正向引用组属性,该属性会自动对用户计算所有组成员资格(包括动态成员资格和递归成员资格)。安全性直接从用户对象找到用户组成员资格,而不是间接搜索所有组来与组成员匹配。
有关更多信息,请参阅配置对 IBM Tivoli Directory Server 的动态和嵌套组支持。
当创建组时,应确保嵌套的组成员资格和动态组成员资格正确工作。
SunONE 或 iPlanet Directory Server 的动态组和嵌套组支持
SunONE 或 iPlanet Directory Server 使用两个分组机制:
- 组
- 它是将其他条目指定为成员的列表或成员的过滤器的条目。
- 角色
- 它是将其他条目指定为成员的列表或成员的过滤器的条目。其他功能是通过生成每个角色成员的 nsrole 属性来提供的。
可以使用三种角色:
- 过滤角色
- 取决于每个条目中包含的属性。如果条目与指定的“轻量级目录访问协议”(LDAP) 过滤器相匹配,那么这些条目就是成员。此角色等价于动态组。
- 嵌套角色
- 创建包含其他角色的角色。此角色等价于嵌套组。
- 受管角色
- 将角色显式地指定给成员条目。此角色等价于静态组。