独立轻量级目录访问协议注册表

独立轻量级目录访问协议 (LDAP) 注册表使用 LDAP 绑定来执行认证。

WebSphere® Application Server 安全性提供并支持大多数主要 LDAP 目录服务器的实现,这些目录服务器可用作用户和组信息的存储库。产品进程调用这些 LDAP 服务器来对用户和其他与安全性相关的任务进行认证。例如,使用服务器来检索用户或组信息。此支持是通过使用不同的用户和组过滤器以获取用户和组信息提供的。这些过滤器具有缺省值,可以修改它们来满足您的需要。定制 LDAP 功能使您可以通过使用适当的过滤 器对其用户注册表使用任何其他的 LDAP 服务器(这些 LDAP 服务器不在产品支持的 LDAP 服务器列表中)。

注: 初始概要文件创建将 WebSphere Application Server 配置为使用联合存储库安全注册表选项以及基于文件的注册表。可将此安全注册表配置更改为使用其他选项,包括独立 LDAP 注册表。请考虑使用提供 LDAP 配置的联合存储库选项,而不是从联合存储库选项更改为用户帐户存储库配置下的独立 LDAP 注册表选项。联合存储库提供了方方面面的功能,包括具有一个或多个用户注册表的能力。它除了支持基于文件的注册表和定制注册表以外,还支持联合一个或多个 LDAP。它还具有改进过的故障转移功能以及一整套功能强大的成员(用户和组)管理功能。当您在 WebSphere Portal 6.1 和更高版本以及 Process Server 6.1 和更高版本中使用新的成员管理功能时需要联合存储库。以下 LDAP 推举需要使用联合存储库,这是某些 LDAP 服务器环境(例如,Microsoft Active Directory)中的常见需求。

建议您从独立 LDAP 注册表迁移至联合存储库。如果您迁移至 WebSphere Portal 6.1 和更高版本或者 WebSphere Process Server 6.1 和更高版本,那么您应该在进行这些升级之前迁移至联合存储库。有关联合存储库及其功能的更多信息,请参阅“联合存储库”主题。有关如何迁移至联合存储库的更多信息,请参阅“从独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置”主题。

要使用 LDAP 作为用户注册表,需要知道注册表中定义的管理用户名称、服务器主机和端口以及基本专有名称 (DN),必要时还需要知道绑定 DN 和绑定密码。可以在可搜索的注册表中选择任何具有管理特权的有效用户。在某些 LDAP 服务器中,无法搜索和使用管理用户,例如,SecureWay 中的 cn=root。此用户指的是文档中的 WebSphere Application Server 安全性服务器标识、服务器标识或服务器用户标识。作为服务器标识意味着用户在调用某些受保护的内部方法时具有特殊特权。通常,启用安全性后,将使用此标识和密码来登录管理控制台。如果管理角色包含其他用户,那么可使用那些用户来登录。

在产品中启用安全性时,产品启动期间主管理用户名和密码由注册表认证。如果认证失败,服务器无法启动。选择未到期或者不经常更改的标识和密码至关重要。如果需要在注册表中更改产品服务器用户标识或密码,确保在所有产品服务器启动并正在运行时执行更改。

在注册表中完成了更改之后,执行配置轻量级目录访问协议用户注册表中所描述的步骤。更改标识、密码和其他配置信息,保存、停止并重新启动所有服务器,以使产品使用新的标识或密码。如果在启用了安全性的情况下启动产品时发生任何问题,那么要禁用安全性之后服务器才能启动。为了避免发生这些问题,应确保在“全局安全性”面板中对此面板中所做的任何更改进行验证。当服务器已启动时,可以更改标识、密码和其他配置信息,然后启用安全性。

通过设置正确的配置,可以使用定制轻量级目录访问协议 (LDAP) 功能来支持任何 LDAP 服务器。但是,因为存在许多配置可能性,所以未将支持扩展到这些定制 LDAP 服务器。

已配置的授权引擎使用用户和组以及安全角色映射信息来执行访问控制决策。

[z/OS]如果要将 LDAP 注册表配置为活动的注册表,那么可以配置以下授权机制之一:
  • 使用 EJBROLE 或 GEJBROLE 概要文件的系统授权工具 (SAF) 授权。SAF 覆盖任何其他授权机制。
  • 作为 Java™ Contract for Containers (JACC) 提供程序的 Tivoli® Access Manager。有关更多信息,请参阅作为 JACC 提供程序的 Tivoli Access Manager 集成
  • 用户到角色绑定,它由应用程序组装者或 WebSphere Application Server 安全性管理员创建。
[z/OS]可以将 SAF 授权(即,使用 SAF EJBROLE 概要文件对 SAF 用户和组指定角色)用作所有用户注册表的授权机制。如果在管理控制台上选择 SAF 授权,那么:

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ldap
文件名:csec_ldap.html