使用特定目录服务器作为 LDAP 服务器

提供了有关一些目录服务器的重要信息,WebSphere® Application Server 支持将这些目录服务器用作轻量级目录访问协议 (LDAP) 服务器。

开始之前

独立 LDAP 注册表不支持 Microsoft Active Directory 森林。在将联合存储库注册表配置为使用 Active Directory LDAP 的情况下,此注册表支持使用森林。

关于此任务

其他 LDAP 服务器最好遵循 LDAP 规范。仅支持这些特定的目录服务器。可以通过使用列表中的定制目录类型并填写该目录所需的过滤器来使用任何其他目录服务器。

为了提高 LDAP 搜索性能,定义了 IBM® Tivoli® Directory Server、Sun ONE 和 Active Directory 的缺省过滤器,这样,当您搜索用户时,结果将包含关于该用户的所有相关信息(用户标识和组等等)。因此,产品不会多次调用 LDAP 服务器。此定义只有在这些目录类型中才是有可能的,这些目录类型支持获取完整用户信息的搜索。

如果使用 IBM Directory Server,请选中授权时忽略大小写选项。由于从用户对象属性获取组信息时获得的大小写与直接获取组信息时获得的大小写不同,所以必须选择此选项。要使授权在这种情况下起作用,请执行不区分大小写的检查并验证授权时忽略大小写选项的要求。

[z/OS]当使用 DB2® 技术数据库管理 (TDBM) 后端时,支持用于 z/OS® 平台的 LDAP 安全性服务器。使用 SecureWay Directory Server 过滤器来连接到用于 z/OS 平台的 LDAP 安全性服务器。

  • [IBM i]使用 Directory Services 作为 LDAP 服务器

    对包含其他组或嵌套组的组的支持取决于特定 WebSphere Application Server 和 LDAP 版本。有关更多信息,请参阅LDAP 的动态组和嵌套组支持

  • 使用 IBM Tivoli Directory Server 作为 LDAP 服务器

    [AIX Solaris HP-UX Linux Windows][IBM i] 要使用 IBM Tivoli Directory Server(旧称 IBM Directory Server),请选择 IBM Tivoli Directory Server 作为目录类型。

    [z/OS]对于 IBM Directory Server,可以选择 IBM Tivoli Directory ServerSecureWay 目录类型。

    这两种类型之间的差别是组成员资格查询方式有所不同。建议您选择 IBM Tivoli Directory Server 以在运行时获得最佳性能。在 IBM Tivoli Directory Server 中,组成员资格是操作属性。使用此属性,组成员资格查询是通过枚举条目的 ibm-allGroups 属性完成的。可以通过 ibm-allGroups 属性返回所有组成员资格,包括静态组、动态组和嵌套组。

    在使用 ibm-allGroups 属性的 IBM Tivoli Directory Server 中,WebSphere Application Server 支持动态组、嵌套组和静态组。要在安全授权应用程序中利用此属性,请使用不区分大小写的匹配,以使 ibm-allGroups 返回的属性值均为大写。

    要点: 建议不要在安装了 V9.0 的机器上安装 IBM Tivoli Directory Server V6.0。不能将 V9.0 用作 IBM Tivoli Directory Server 的管理控制台。如果 IBM Tivoli Directory Server V6.0 与 V9.0 安装在同一机器上,那么可能会发生端口冲突。

    如果必须将 IBM Tivoli Directory Server V6.0 和 V9.0 安装在同一机器上,那么考虑以下信息:

    • 在安装 IBM Tivoli Directory Server 的过程中,必须选择 Web Administration Tool V5.1.1
    • 安装 V9.0
    • 在安装 V9.0 时,更改应用程序服务器的端口号。
    • V9.0 上,可能需要针对 WAS_HOMEWAS_INSTALL_ROOT(或者 IBM i 中的 APP_SERVER_ROOT)调整 WebSphere Application Server 环境变量。要使用管理控制台来更改变量,请单击环境 > WebSphere 变量
  • 使用 Lotus® Domino® Enterprise Server 作为 LDAP 服务器
    如果选择 Lotus Domino Enterprise Server V6.5.4 或 V7.0,并且未在模式中定义属性短名称,那么可执行下列任何一项操作:
    • 更改模式以添加短名称属性。
    • 更改用户标识映射过滤器,以将短名称替换为任何其他已定义的属性(最好替换为 UID)。例如,将 person:shortname 更改为 person:uid
    由于当前版本的 Lotus Domino 在缺省情况下不创建 shortname 属性,所以用户标识映射过滤器已更改为使用 uid 属性而不是 shortname 属性。如果要使用 shortname 属性,那么在模式中定义该属性,然后更改用户标识映射过滤器。

    User ID Map :    person:shortname

  • 使用 Sun ONE Directory Server 作为 LDAP 服务器
    可以为 Sun ONE Directory Server 系统选择 Sun ONE Directory Server。在 Sun ONE Directory Server 中创建组时,缺省对象类是 groupOfUniqueName。为了提高性能,WebSphere Application Server 使用 User 对象来从 nsRole 属性中查找用户组成员资格。根据角色创建组。如果要使用 groupOfUniqueName 属性来搜索组,请指定您自己的过滤器设置。角色统一条目。角色设计得更有效率并且更易于应用程序使用。例如,应用程序可以通过枚举给定条目拥有的所有角色来找到某个条目的角色,而不是通过选择组和浏览成员列表来实现。在使用角色时,可使用下列各项来创建组:
    • 受管角色
    • 过滤角色
    • 嵌套角色
    所有这些角色都是由 nsRole 属性计算的。
  • 使用 Microsoft Active Directory 服务器作为 LDAP 服务器

    要将 Microsoft Active Directory 用作 LDAP 服务器以便向 WebSphere Application Server 认证,必须执行一些特定步骤。缺省情况下,Microsoft Active Directory 不允许进行匿名 LDAP 查询。为了创建 LDAP 查询或浏览目录,LDAP 客户机必须使用帐户的专有名称 (DN) 与 LDAP 服务器绑定,该帐户有权搜索和读取 Application Server 所需要的 LDAP 属性的值,例如用户和组信息。在 Active Directory 中进行的组成员资格搜索是通过枚举给定用户条目的 memberof 属性完成的,而不是通过浏览每个组中的成员列表完成的。如果将缺省行为更改为浏览每个组,那么可以将组成员标识映射字段由 memberof:member 更改为 group:member

下列步骤描述如何将 Microsoft Active Directory 设置成 LDAP 服务器。

过程

  1. 确定 Administrators 组中帐户的完整专有名称 (DN) 和密码。
    [AIX Solaris HP-UX Linux Windows][IBM i]例如,如果 Active Directory 管理员在 Active Directory 用户和计算机 Windows 控制面板的“用户”文件夹中创建一个帐户,且 DNS 域为 ibm.com,那么得到的 DN 结构如下:
    cn=<adminUsername>, cn=users, dc=ibm, 
    dc=com 
  2. 确定 Microsoft Active Directory 中任何帐户的短名称和密码。
  3. 使用 WebSphere Application Server 管理控制台来设置使用 Microsoft Active Directory 时所需的信息。
    1. 单击安全性 > 全局安全性
    2. 在“用户帐户存储库”下,选择独立 LDAP 注册表,然后单击配置
    3. 将带有 Active Directory 的 LDAP 设置为 LDAP 服务器类型。 根据先前步骤中确定的信息,可以在 LDAP 设置面板上指定下列值:
      主管理用户名
      指定注册表中定义的拥有管理特权的用户的名称。此用户名用来访问管理控制台,或供 wsadmin 使用。
      类型
      指定 Active Directory。
      主机
      指定运行 Microsoft Active Directory 的机器的域名服务 (DNS) 名称。
      基本专有名称 (DN)
      指定在第一步中选择的帐户的 DN 的域组件。例如:dc=ibm, dc=com
      绑定专有名称 (DN)
      指定在第一步中选择的帐户的完整专有名称。例如:cn=adminUsername, cn=users, dc=ibm, dc=com
      绑定密码
      指定在第一步中选择的帐户的密码。
    4. 单击确定保存以将更改保存到主配置。
  4. 单击安全性 > 全局安全性
  5. 在“用户帐户存储库”下,单击可用的领域定义下拉列表,选择独立 LDAP 注册表,然后单击配置
  6. 选择自动生成的服务器标识存储在存储库中的服务器标识选项。 如果选择存储在存储库中的服务器身份选项,那么输入以下信息:
    V6.0.x 节点上的服务器用户标识或管理用户
    指定在第二步中选择的帐户的短名称。
    服务器用户密码
    指定在第二步中选择的帐户的密码。
  7. 可选: 将 ObjectCategory 设置为“组成员标识映射”字段中的过滤器以提高 LDAP 性能。
    1. 在“其他属性”下,单击高级轻量级目录访问协议 (LDAP) 用户注册表设置
    2. ;objectCategory:group 添加到“组成员标识映射”字段末尾。
  8. 单击确定保存以将更改保存到主配置。
  9. 停止并重新启动管理服务器,以使更改生效。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tmsad
文件名:tsec_tmsad.html