联合存储库局限性
本主题概括了配置联合存储库的已知局限性和重要信息。
在混合版本环境中配置联合存储库
在同时包含 V6.1.x 以及
V5.x 或 V6.0.x 节点的混合版本 Deployment Manager 单元中配置联合存储库时,存在下列局限性:
- 在联合存储库下面只能配置一个轻量级目录访问协议 (LDAP) 存储库,并且该存储库必须受 V5.x 或 V6.0.x 支持。
- 只能指定与先前版本兼容的领域名称。主机名和端口号表示 LDAP 服务器在混合版本节点单元中的领域。例如,machine1.austin.ibm.com:389。
- 必须配置独立 LDAP 注册表;独立 LDAP 注册表与联合存储库配置下面的 LDAP 存储库这两者中的 LDAP 信息必须匹配。在节点同步期间,独立
LDAP 注册表中的 LDAP 信息会传播到 V5.x 或 V6.0.x 节点。要点: 在节点同步之前,请验证在Current®“当前领域定义”字段中是否标识了“联合存储库”。如果未标识“联合存储库”,那么从“可用的领域定义”字段中选择联合存储库,然后单击设置为当前。请不要将独立 LDAP 注册表设为当前领域定义。
- 在混合版本 Deployment Manager 单元中,不能配置条目映射存储库或属性扩展存储库。
在联合存储库中配置 LDAP 服务器
LDAP 连接 connectTimeout 缺省值为 20 秒。对来自 WebSphere® Application Server 的任何请求,LDAP 应该在 20 秒之内响应。如果在这段时间之内无法连接到 LDAP,那么确保该 LDAP 正在运行。当连接超时超过 20 秒时,将在 LDAP 配置面板的顶部显示连接错误。
与 Tivoli Access Manager 共存
要使 Tivoli® Access Manager 与联合存储库配置共存,下列局限性适用:
- 在联合存储库下面,只能配置一个 LDAP 存储库,并且该 LDAP 存储库配置必须与 Tivoli Access Manager 下面的 LDAP 服务器配置匹配。
- 领域基本条目的专有名称必须与存储库内基本条目的 LDAP 专有名称 (DN) 相匹配。在 WebSphere Application Server 中,Tivoli Access Manager 会为认证和授权识别 LDAP 用户标识和 LDAP DN。联合存储库配置不包括 LDAP 用户标识和 DN 的其他映射。
- 联合存储库功能不会识别由 Tivoli Access Manager 指定的元数据。当在用户和组管理下面创建了用户和组时,在使用 Tivoli Access Manager 元数据的情况下,不对它们进行格式化。在将这些用户和组用于认证和授权之前,必须将它们手动导入到 Tivoli Access Manager 中。
将 Active Directory 配置为使用其自己的联合存储库领域的局限性
要使用管理控制台在两个 Active Directory 上使用通配符来搜索所有可用用户,且防止多个条目(具有所有内置标识)的异常,必须先将每个 Active Directory 配置为使用其自己的联合存储库领域。
但是,您不能使用管理控制台来将每个 Active Directory 配置为使用其自己的联合存储库领域。您可以改为使用以下类似 wsadmin 脚本:
$AdminTask createIdMgrRealm {-name AD1realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD1realm -baseEntry o=AD1}
$AdminTask createIdMgrRealm {-name AD2realm}
$AdminTask addIdMgrRealmBaseEntry {-name AD2realm -baseEntry o=AD2}
$AdminConfig save
联合存储库配置中存储库标识的限制
在联合存储库配置中,存储库标识的长度不得超过 36 个字符。如果存储库标识的长度超过 36 个字符,那么检索或存储数据时可能会发生错误,在配置属性扩展存储库时尤其如此。
不支持带有 RACF 的 z/OS LDAP 服务器
WebSphere Application Server 联合存储库不支持具有 SDBM 后端(资源访问控制设施 (RACF))的 z/OS LDAP 服务器。