将独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置
配置应用程序服务器的安全性时,您可能需要将独立 LDAP 注册表迁移至联合存储库 LDAP 存储库配置。
开始之前
请记下您要迁移的独立 LDAP 存储库的规范,以便在联合存储库中配置 LDAP 存储库时作为参考。要访问这些字段,请在管理控制台上单击安全性 > 全局安全性,然后在“用户帐户存储库”下,从“可用的领域定义”字段中选择独立 LDAP 注册表或者联合存储库,然后单击配置。要在多安全域环境中访问这些字段,请单击安全性 > 全局安全性 > 安全域 > domain_name,然后在“安全性属性”下面展开“用户领域”,并单击为此域进行定制。将领域类型选择为独立 LDAP 注册表或联合存储库,然后单击配置。

下表显示管理控制台面板和独立 LDAP 存储库配置的字段及其在联合存储库 LDAP 存储库配置中的对应字段以便映射。
独立 LDAP 存储库配置 | 联合存储库配置中的 LDAP 存储库 |
---|---|
全局安全性 > 独立 LDAP 注册表 常规属性 - 主要管理用户名 |
全局安全性 > 联合存储库 常规属性 - 主要管理用户名 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - LDAP 服务器的类型 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID LDAP 服务器 - 目录类型 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 主机 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID LDAP 服务器 - 主要主机名 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 端口 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID LDAP 服务器 - 端口 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 故障转移主机 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID LDAP 服务器 - 主要服务器不可用时使用的故障转移服务器 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 基本专有名称 (DN) |
全局安全性 > 联合存储库 > 存储库引用(单击“将基本条目添加至领域”) 常规属性 - 用于在领域中唯一标识此条目集的基本条目的专有名称 和 常规属性 - 此存储库中的基本条目的专有名称 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 搜索超时 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID > 性能 常规属性 - 限制搜索时间 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 定制属性 |
全局安全性 > 联合存储库 > 定制属性 |
全局安全性 > 独立 LDAP 注册表 LDAP 服务器 - 服务器用户身份 |
全局安全性 > 联合存储库 常规属性 - 服务器用户身份 |
全局安全性 > 独立 LDAP 注册表 安全性 - 绑定专有名称 (DN) |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID 安全性 - 绑定专有名称 |
全局安全性 > 独立 LDAP 注册表 安全性 - BIND 密码 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID 安全性 - BIND 密码 |
全局安全性 > 独立 LDAP 注册表 > 高级轻量级目录访问协议 (LDAP) 用户注册表设置 常规属性 - Kerberos 用户过滤器 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID 安全性 - 用于 Kerberos 主体名称的 LDAP 属性 |
全局安全性 > 独立 LDAP 注册表 > 高级轻量级目录访问协议 (LDAP) 用户注册表设置 常规属性 - 证书映射方式 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID 安全性 - 证书映射 |
全局安全性 > 独立 LDAP 注册表 > 高级轻量级目录访问协议 (LDAP) 用户注册表设置 常规属性 - 证书过滤器 |
全局安全性 > 联合存储库 > 管理存储库 > repository_ID 安全性 - 证书过滤器 |
上表中未列示联合存储库 LDAP 配置面板中“常规属性”下的“领域名”字段,因为该字段与独立 LDAP 配置面板中的字段没有一一对应关系。主机名和端口号表示独立 LDAP 服务器在 WebSphere Application Server 单元中的领域名。有关更改域名的信息,请参阅“领域配置设置”主题。
上表中还未列示“用户过滤器”、“组过滤器”、“用户标识映射”、“组标识映射“和”组成员标识”映射字段,因为他们与联合存储库 LDAP 存储库配置面板中的字段没有一一对应关系。这些 LDAP 属性在联合存储库 LDAP 存储库配置中以不同方式设置,并涉及多个步骤。下面几节和过程中详细说明了这些设置。
关于此任务
从独立 LDAP 存储库配置迁移至联合存储库 LDAP 存储库配置涉及迁移配置参数,其中大部分直接显示在上一节的表 1 中。迁移搜索过滤器是将独立 LDAP 存储库配置迁移至联合存储库 LDAP 配置过程的重要部分,因此,此处详细描述了 LDAP 搜索过滤器的概念和迁移。
独立 LDAP 注册表搜索过滤器遵循 LDAP 过滤器语法,您在其中指定搜索所依据的属性及其值。
用户过滤器用于在注册表中搜索用户。它用于通过使用过滤器中指定的属性来认证用户。
此组过滤器用于在注册表中搜索组。它指定查找组时所依据的属性。
(&(uid=%v)(objectclass=ePerson))
搜索其 uid 属性与 ePerson 对象类的指定搜索模式相匹配的用户。
(&(cn=%v)(objectclass=user))
搜索其 cn 属性与 user 对象类的指定搜索模式相匹配的用户。
(&(sAMAccountName=%v)(objectcategory=user))
搜索其 sAMAccountName 属性与 user 对象类别的指定搜索模式相匹配的用户。
(&(userPrincipalName=%v)(objectcategory=user))
搜索其 userPrinciplalName 属性与 user 对象类别的指定搜索模式相匹配的用户。
(&(mail=%v)(objectcategory=user))
搜索其 mail 属性与 user 对象类别的指定搜索模式相匹配的用户。
(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))
搜索其 sAMAccountName 或 userPrincipalName 与 user 对象类别的指定搜索模式相匹配的用户。
常用组过滤器的示例:
(&cn=%v)(objectCategory=group)
根据常用名称 (cn) 来查找组。
(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
根据常用名称 (cn) 查找组或使用对象类 groupOfNames 或 groupOfUniqueNames 来查找组。
如这些示例中所示,独立 LDAP 注册表搜索过滤器由据其执行搜索或登录的 LDAP 属性和对象类组成。
还可指定联合存储库的 LDAP 适配器配置中的 LDAP 属性和对象类,但他们以不同方式配置,并且提供更高的灵活性。在联合存储库中,用户表示为 PersonAccount 实体类型,组表示为 Group 实体类型。每个实体类型都有它自己的 RDN(相对专有名称)属性 (rdnProperties) 和对象类。例如,PersonAccount 的缺省 RDN 属性为 uid,Group 的缺省 RDN 属性为 cn。缺省对象类映射依赖于 LDAP 服务器类型。例如,对于 Tivoli Directory Server,PersonAccount 的对象类为 inetOrgPerson,Group 的对象类为 groupOfNames。PersonAccount 还可能具有登录属性。用户登录或执行搜索以查找用户注册表中的用户时,这些登录属性与此模式相匹配。例如,如果登录属性为 uid 和 mail,那么对于搜索模式 a*,会返回与 uid=a* 或 mail=a* 相匹配的所有用户。

迁移搜索过滤器涉及下列一个或多个步骤:设置正确的登录属性、将后端存储库的属性映射至联合存储库属性、设置对象类、通过使用对象类或对象类别来设置搜索过滤器以及设置成员或成员资格属性。联合存储库的此映射和配置保留在 wimconfig.xml 文件中。
- 用户或组属性过滤器
- 用户或组对象类或对象类别过滤器
- 属性过滤器为 (cn=%v)
- 对象类过滤器为 (objectclass=user)
- 属性过滤器映射至用户的 RDN 属性或登录属性配置以及组的 RDN 属性配置。
- 对象类过滤器映射至 LDAP 适配器的实体类型配置。
- 属性过滤器:
- 设置 RDN 属性和/或登录属性(如果适用)
- 将联合存储库属性映射至 LDAP 属性(如果适用)
- 对象类过滤器:
- 设置实体类型的对象类(如果适用)
- 设置实体类型的搜索过滤器(如果适用)
- 示例 1 适用于您将搜索过滤器 (&(cn=%v)(objectclass=ePerson)) 从独立 IBM Tivoli Directory Server LDAP 存储库迁移至标识为 LDAPTDS 的联合存储库 LDAP 存储库的场景。
- 示例 2 适用于您将搜索过滤器 (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) 从独立 Microsoft Active Directory LDAP 存储库迁移至标识为 LDAPAD 的联合存储库 LDAP 存储库的场景。未在联合存储库中定义 sAMAccountName 和 userPrincipalName 属性,所以这些属性必须映射至联合存储库属性。