在联合存储库配置中配置轻量级目录访问协议
按照本主题来在联合存储库配置中配置轻量级目录访问协议 (LDAP) 设置。
开始之前
关于此任务
过程
- 在“存储库标识”字段中输入存储库的唯一标识。此标识在单元中唯一地标识该存储库,例如 LDAP1。
- 从“目录类型”列表中选择使用的 LDAP 服务器类型。 LDAP 服务器类型确定 WebSphere® Application Server 使用的缺省过滤器。
IBM® Tivoli® Directory Server 用户可以选择 IBM Tivoli Directory Server 或 SecureWay 作为目录类型。请使用 IBM Tivoli Directory Server 目录类型以提高性能。要获取受支持的 LDAP 服务器的列表,请参阅使用特定目录服务器作为 LDAP 服务器。
- 在“主要主机名”字段中输入主 LDAP 服务器的标准主机名称。 可以输入 IP 地址,也可以输入领域名系统 (DNS) 名称。
- 在“端口”字段中输入 LDAP 目录的服务器端口。 主机名和端口号表示此 LDAP 服务器在混合版本节点单元中的领域。如果不同单元中的服务器使用轻量级第三方认证 (LTPA) 令牌来互相通信,那么这些领域必须在所有单元中完全匹配。
缺省值是 389,即不使用安全套接字层 (SSL) 连接。如果使用端口 636,那么表示使用安全套接字层 (SSL) 连接。对于某些 LDAP 服务器,可以对非 SSL 或 SSL 连接指定另一端口。如果您不了解所要使用的端口,请与 LDAP 服务器管理员联系。
如果安装并配置了多个在同一单点登录域中运行的 WebSphere Application Server,或者 WebSphere Application Server 将与先前版本的 WebSphere Application Server 进行互操作,那么将端口号与所有配置相匹配十分重要。例如,如果在 V5.x 或 V6.0.x 配置中明确地将 LDAP 端口指定为 389,并且 WebSphere Application Server V6.1 将与该 V5.x 或 V6.0.x 服务器进行互操作,那么验证是否为 V6.1 服务器明确指定了端口 389。
- 可选: 在“故障转移主机名”字段中输入故障转移 LDAP 服务器的主机名。 可以指定当主目录服务器不可用时要使用的辅助目录服务器。在切换到辅助目录服务器后,LDAP 存储库将每隔 15 分钟尝试重新连接主目录服务器一次。
- 可选: 在“端口”字段中输入故障转移 LDAP 服务器的端口并单击添加。 缺省值是 389,即不使用安全套接字层 (SSL) 连接。如果使用端口 636,那么表示使用安全套接字层 (SSL) 连接。对于某些 LDAP 服务器,可以对非 SSL 或 SSL 连接指定另一端口。如果您不了解所要使用的端口,请与 LDAP 服务器管理员联系。
- 可选: 选择推举者类型。 推举者是一个实体,它用来将客户机请求重定向到另一 LDAP 服务器。推举者包含其他对象的名称和位置。服务器通过发送推举者来指示可以在另一位置找到客户机请求的信息,该位置可能在另一服务器或若干服务器上。缺省值是“忽略”。
- 忽略
- 忽略推举者。
- 遵循
- 自动遵循推举者。
- 可选: 指定用于跟踪存储库更改的支持类型。概要文件管理器在将请求传递给相应适配器之前会引用此值。
如果该值为 none,那么将不调用此存储库来检索所更改的实体。
- none
- 指定此存储库不支持跟踪更改。
- 本机
- 指定存储库的本机更改跟踪机制由虚拟成员管理器用来返回已更改的实体。
- 可选: 指定数据的任意“名称-值”对作为定制属性。名称是属性关键字,值是可用于设置内部系统配置属性的字符串值。通过定义新属性,就能够配置除管理控制台中的设置以外的设置。
- 可选: 在“绑定专有名称”字段中输入绑定 DN 名,例如 cn=root。 如果在 LDAP 服务器上不可能执行匿名绑定,那么需要绑定 DN 才能获取用户和组信息以及执行写操作。在大多数情况下,都需要绑定 DN 和绑定密码。但是,当匿名绑定能够满足所有必需功能的要求时,就不需要绑定 DN 和绑定密码。如果已将 LDAP 服务器设置为使用匿名绑定,请将此字段留空。如果未指定名称,那么应用程序服务器以匿名方式执行绑定。注: 为了创建 LDAP 查询或进行浏览,LDAP 客户机必须使用特定帐户的专有名称 (DN) 绑定至 LDAP 服务器,该帐户有权搜索和读取 LDAP 属性的值,例如用户和组信息。LDAP 管理员确保对绑定 DN 设置了读访问特权。读访问特权允许对基本 DN 的子树进行访问,并确保能够成功完成对用户和组信息的搜索。
目录服务器在每个目录条目中提供了一个操作属性,例如,IBM Directory Server 将 ibm-entryUuid 用作操作属性。此属性的值是一个通用唯一标识 (UUID),它是在添加条目时由目录服务器自动选择的并且应该是唯一的:其他条目,不管是否同名,均不应该具有此值。目录客户机可使用此属性来区别由专有名称标识的对象或者定位重命名的对象。确保绑定凭证有权读取此属性。
- 可选: 在“bind 密码”字段中输入与绑定 DN 对应的密码。
- 可选: 在“登录”属性字段中输入用来登录到 WebSphere Application Server 的属性名。 此字段接受多个由分号 (;) 定界的登录属性。例如,uid;mail。注: 如果要使登录属性区分大小写,请确保已禁用 attributeCache。 或者,可以选择定义不是专有名称元素一部分的登录属性名称。
在登录期间将搜索所有登录属性。如果找到多个条目,或者未找到任何条目,就会抛出异常。例如,如果指定登录属性 uid;mail 和登录标识 Bob,那么搜索过滤器将搜索 uid=Bob 或 mail=Bob。如果搜索操作返回了单个条目,那么可以继续进行认证。否则,将抛出异常。
支持的配置: 如果定义多个登录属性,那么第一个登录属性是通过程序映射至联合存储库 principalName 属性。例如,如果将 uid;mail 设为登录属性,那么 LDAP 属性 UID 值会映射至联合存储库 principalName 属性。如果定义多个登录属性,那么登录后第一个登录属性作为 principalName 属性的值返回。例如,如果将 joe@yourco.com 作为 principalName 值传递并且登录属性配置为 uid;mail,那么 principalName 返回为 joe。sptcfg
- 可选: 指定 Kerberos 主体名称的 LDAP 属性。仅当配置了 Kerberos 并且它是有效的或首选的认证机制之一时,此字段才启用且可以修改。
- 可选: 在“证书映射”字段中选择证书映射方式。 如果选择了 LDAP 作为存储库,那么可以使用 X.590 证书来进行用户认证。“证书映射”字段用来指示是通过 EXACT_DN 还是通过 CERTIFICATE_FILTER 将 X.509 证书映射至 LDAP 目录用户。如果选择 EXACT_DN,那么证书中的 DN 必须与 LDAP 服务器中的用户条目完全匹配(包括大小写和空格匹配)。
- 如果在“证书映射”字段中选择 CERTIFICATE_FILTER,那么指定用于将客户机证书中的属性映射至 LDAP 中条目的 LDAP 过滤器。
如果在运行时有多个 LDAP 条目与过滤器规范匹配,认证就会失败,这是因为这会导致模糊匹配。此过滤器的语法或结构是:
LDAP attribute=${Client certificate attribute}
例如,uid=${SubjectCN}。
过滤器规范(LDAP 属性)的一侧是 LDAP 属性,此属性依赖于 LDAP 服务器配置使用的模式。过滤器规范 (${客户机证书属性}) 的另一侧是客户机证书的某个公共属性。此侧必须以美元符号 ($) 和左括号 ({) 开头并以右括号 (}) 结尾。可以在过滤器规范的此侧使用下列证书属性值。字符串的大小写很重要:- ${UniqueKey}
- ${PublicKey}
- ${IssuerDN}
- ${Issuer<xx>}
其中 <xx> 将被替换为用于表示签发者专有名称的任何有效部分的字符。例如,可以使用 ${IssuerCN} 来作为签发者的公共名。
- ${NotAfter}
- ${NotBefore}
- ${SerialNumber}
- ${SigAlgName}
- ${SigAlgOID}
- ${SigAlgParams}
- ${SubjectDN}
- ${Subject<xx>}
其中 <xx> 将被替换为用于表示主体专有名称的任何有效部分的字符。例如,可以使用 ${SubjectCN} 来作为主体集的公共名。
- ${Version}
- 可选: 如果要对 LDAP 服务器使用安全套接字层通信功能,请选中需要进行 SSL 通信选项。 如果选择了需要进行 SSL 通信选项,那么可以选择集中管理或使用特定 SSL 别名选项。
- 集中管理
- 使您能够在一个位置为特定范围(例如单元、节点、服务器或集群)指定 SSL 配置。要使用“集中管理”选项,必须为一组特定的端点指定 SSL 配置。“管理端点安全性配置和信任区域”面板显示了所有使用 SSL 协议的入站端点和出站端点。如果展开此面板的“入站”或“出站”部分并单击节点名,那么可指定用于该节点上每个端点的 SSL 配置。对于 LDAP 注册表,可以通过为 LDAP 指定 SSL 配置来覆盖继承的 SSL 配置。要为 LDAP 指定 SSL 配置,请完成下列步骤:
- 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置和信任区域。
- 展开出站 > cell_name > 节点 > node_name > 服务器 > server_name > LDAP。
- 使用特定 SSL 别名
- 如果您打算从使用特定 SSL 别名选项下面的菜单中选择其中一个 SSL 配置,请选择此选项。
仅当对 LDAP 启用了 SSL 时才会使用此配置。缺省值是 DefaultSSLSettings。要修改或创建新的 SSL 配置,请完成下列步骤:
- 单击安全性 > SSL 证书和密钥管理。
- 在“配置设置”下,单击管理端点安全性配置和信任区域 > configuration_name。
- 在“相关项”下,单击 SSL 配置。
- 单击确定。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_ldap_settings
文件名:twim_ldap_settings.html