轻量级目录访问协议存储库配置设置

使用此页面来配置通过可选的故障转移服务器来对轻量级目录访问协议 (LDAP) 存储库进行安全访问。

要查看此管理控制台页面,请完成下列步骤:
  1. 在管理控制台中,请单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下,从“可用的领域定义”字段中选择联合存储库,然后单击配置。要配置多安全域环境中的某个特定域,请单击安全域 > domain_name。在“安全性属性”下面,展开“用户领域”,然后单击为此域进行定制。 将领域类型选择为联合存储库,然后单击配置
  3. 在“相关项”下,单击管理存储库
  4. 单击添加以指定新的外部存储库,或者选择预先配置的外部存储库。

在添加或更新联合存储库配置完成后,请转到安全性 > 全局安全性面板并单击应用以验证更改。

存储库标识

指定 LDAP 存储库的唯一标识。此标识在单元中唯一地标识该存储库,例如 LDAP1。

目录类型

指定要连接的 LDAP 服务器的类型。

展开下拉列表以显示 LDAP 目录类型列表。

主要主机名

指定主 LDAP 服务器的主机名。此主机名是 IP 地址或域名服务 (DNS) 名称。

端口

指定 LDAP 服务器端口。

缺省值是 389,即不使用安全套接字层 (SSL) 连接。如果使用端口 636,那么表示使用安全套接字层 (SSL) 连接。对于某些 LDAP 服务器,可以对非 SSL 或 SSL 连接指定另一端口。如果您不了解所要使用的端口,请与 LDAP 服务器管理员联系。

信息
数据类型: 整数
缺省: 389
范围: 389,这不是安全套接字层 (SSL) 连接

636,这是安全套接字层 (SSL) 连接

故障转移主机名

指定故障转移 LDAP 服务器的主机名。

可以指定当主目录服务器不可用时要使用的辅助目录服务器。在切换到辅助目录服务器之后,LDAP 存储库将每隔 15 分钟尝试重新连接主目录服务器一次。

端口

指定故障转移 LDAP 服务器的端口。

缺省值是 389,即不使用安全套接字层 (SSL) 连接。如果使用端口 636,那么表示使用安全套接字层 (SSL) 连接。对于某些 LDAP 服务器,可以对非 SSL 或 SSL 连接指定另一端口。如果您不了解所要使用的端口,请与 LDAP 服务器管理员联系。

信息
数据类型: 整数
范围: 389,这不是安全套接字层 (SSL) 连接

636,这是安全套接字层 (SSL) 连接

支持对其他 LDAP 服务器的推举

指定如何处理此 LDAP 服务器遇到的推举。

推举者是一个实体,它用来将客户机请求重定向到另一 LDAP 服务器。推举者包含其他对象的名称和位置。服务器通过发送推举者来指示可以在另一位置找到客户机请求的信息,该位置可能在另一服务器或若干服务器上。缺省值是“忽略”。

信息
缺省: 忽略
范围:
忽略
忽略推举者。
遵循
自动遵循推举者。

用于跟踪存储库更改的支持

指定用于跟踪存储库更改的支持类型。概要文件管理器在将请求传递给相应适配器之前会引用此值。 如果该值为 none,那么将不调用此存储库来检索所更改的实体。

none
指定此存储库不支持跟踪更改。
本机
指定存储库的本机更改跟踪机制由虚拟成员管理器用来返回已更改的实体。

定制属性

指定数据的任意“名称/值”对。名称是属性关键字,值是可用于设置内部系统配置属性的字符串值。

通过定义新属性,就能够配置除管理控制台中的设置以外的设置。

绑定专有名称

指定应用程序服务器绑定到 LDAP 存储库时要使用的专有名称 (DN)。

如果未指定名称,应用程序服务器就会以匿名方式绑定。在大多数情况下,都需要绑定 DN 和绑定密码。但是,当匿名绑定能够满足所有必需功能的要求时,就不需要绑定 DN 和绑定密码。

绑定密码

指定与 LDAP 存储库绑定时应用程序服务器使用的密码。

登录属性

指定用来登录到应用程序服务器的属性名。

此字段接受多个由分号 (;) 定界的登录属性。例如,uid;mail。在登录期间将搜索所有登录属性。如果找到多个条目,或者未找到任何条目,就会抛出异常。例如,如果指定登录属性 uid;mail 和登录标识 Bob,那么搜索过滤器将搜索 uid=Bob 或 mail=Bob。如果搜索操作返回了单个条目,那么可以继续进行认证。否则,将抛出异常。

支持的配置 支持的配置: 如果定义多个登录属性,那么第一个登录属性是通过程序映射至联合存储库 principalName 属性。例如,如果将 uid;mail 设为登录属性,那么 LDAP 属性 UID 值会映射至联合存储库 principalName 属性。如果定义多个登录属性,那么登录后第一个登录属性作为 principalName 属性的值返回。例如,如果将 joe@yourco.com 作为 principalName 值传递并且登录属性配置为 uid;mail,那么 principalName 返回为 joe。sptcfg

Kerberos 主体名称的 LDAP 属性

指定 Kerberos 主体名称的 LDAP 属性。当配置了 Kerberos 并且它是活动的或首选的认证机制之一时,可以修改此字段。

证书映射

指定是使用 EXACT_DN 还是 CERTIFICATE_FILTER 将 X.509 证书映射至 LDAP 目录。指定 CERTIFICATE_FILTER 以使用指定的证书过滤器进行映射。

证书过滤器

为 LDAP 过滤器指定过滤器证书映射属性。过滤器用来将客户机证书中的属性映射至 LDAP 存储库中的条目。

如果在运行时有多个 LDAP 条目与过滤器规范匹配,认证就会失败,这是因为这会导致模糊匹配。此过滤器的语法或结构是:

LDAP attribute=${Client certificate attribute}

简单证书过滤器的示例为:uid=${SubjectCN}

还可指定多个属性和值作为证书过滤器的一部分。复杂证书过滤器的示例为:

(&(cn=${IssuerCN}) (employeeNumber=${SerialNumber})

(& (issuer=${IssuerDN}) (serial=${SerialNumber}) (subjectdn=${SubjectDN}))

过滤器规范的左边是 LDAP 属性,此属性依赖于 LDAP 服务器配置使用的模式。过滤器规范的右边是客户机证书的某个公共属性。您还可以使用 UniqueKey 证书变量,它由主体集 DN 和发布者 DN 的 MD5 散列的基本 64 位编码组成。右边必须以美元符号 ($) 和左括号 ({) 开头并以右括号 (}) 结尾。可以在过滤器规范的右边使用下列证书属性值。字符串的大小写很重要:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuerxx},其中 xx 将替换为表示发布者专有名称的任何有效部分的字符。例如,可以使用 ${IssuerCN} 来作为发布者的公共名。
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subjectxx},其中 xx 将替换为表示主体集专有名称的任何有效部分的字符。例如,可以使用 ${SubjectCN} 来作为主体集的公共名。
  • ${Version}

需要进行 SSL 通信

指定是否对 LDAP 服务器启用安全套接字通信。

启用此选项后,如果已指定 LDAP 安全套接字层 (SSL) 设置,就会使用那些设置。

集中管理

指定根据 Java™ 命名和目录接口 (JNDI) 平台的出站拓扑视图来选择 SSL 配置。

集中管理的配置支持在一个位置维护 SSL 配置,而不是将这些配置分布到许多配置文档中。

信息
缺省: 已启用
范围: 已启用或已禁用

使用特定 SSL 别名

指定用于 LDAP 出站 SSL 通信的 SSL 配置别名。

此选项覆盖集中管理的 JNDI 平台配置。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwim_ldapreposettings
文件名:uwim_ldapreposettings.html