在 Microsoft Active Directory 森林中向 LDAP 注册表认证用户

在多个存储库或 Microsoft Active Directory 森林之类的分布式轻量级目录访问协议 (LDAP) 存储库中认证用户可能会很难。对整个用户注册表进行任何搜索时,如果在运行时发现多个匹配,那么认证会失败,因为产生了模糊匹配。

开始之前

在任何多 Microsoft Active Directory 域环境中,WebSphere® Application Server 管理员都必须将 Microsoft Active Directory 中的缺省唯一标识视为用户的 sAMAccountName 属性。

关于此任务

可确保用户标识在单个域中唯一。但是,无法确保它们在树或森林中唯一。例如,假定在森林及每个子域中添加了用户标识 smith。如果搜索 sAMAccountName=smith,那么会返回三个匹配项。如果注册表中有多个可能匹配项,那么 WebSphere Application Server 不会认证此用户。
图 1. 森林搜索策略。. 整个森林中的非唯一 sAMAccountName 的搜索演示。森林搜索策略

可通过将用户过滤器更改为基于用户的 userPrincipalName 属性(它在森林中是唯一的)而不是 sAMAccountName 属性来缓解此问题。但是,将用户过滤器更改为基于用户的 userPrincipalName 属性之后,用户必须知道要使用他们的 userPrincipalName 进行登录,这是之前用户可能不知道的。

对 LDAP 用户注册表设置用户过滤器的具体过程取决于 LDAP 注册表的类型。以下示例说明适用于独立 LDAP 注册表的过程和适用于联合存储库注册表的过程。

过程

  1. 对独立 LDAP 注册表设置用户过滤器: 可在“高级轻量级访问协议 (LDAP) 用户注册表设置”页面上设置用户过滤器以搜索 userPrincipalName 而不是 sAMAccountName 值。
    例如:
    (&(objectClass=user)(userPrincipalName=%w))
  2. 对联合存储库注册表设置用户过滤器: 可将 LDAP 存储库中的登录属性更改为 uid;cn,例如,通过使用管理控制台。
    1. 单击安全性 > 全局安全性
    2. 在“可用领域定义”下,选择联合存储库,然后单击配置。在多安全域环境中,单击安全域 > domain_name。 在“安全性属性”下面,展开“用户领域”,然后单击为此域进行定制。 将领域类型选择为联合存储库,然后单击配置
    3. 在“相关项”下,单击管理存储库
    4. 单击添加 > LDAP 存储库
    5. 在“常规属性”下,添加以下信息:
      存储库标识
      森林
      目录类型
      Microsoft Windows Active Directory
      主要主机名
      forest.acme.net
      端口
      389
      主服务器不可用时使用的故障转移服务器
      绑定专有名称
      cn=wasbind, CN=Users, DC=ib
      绑定密码
      ********
      登录属性
      uid;cn
  3. 单击确定保存以将更改保存到主配置。
  4. 在“LDAP 存储库配置”页面上的“其他属性”下,单击 LDAP 属性
  5. 单击添加 > 受支持项
  6. 名称字段中,输入 userPrincipalName
  7. 属性名字段中,输入 cn
  8. 实体类型字段中,输入 PersonAccount
  9. 单击确定保存以将更改保存到主配置。
  10. 在 Deployment Manager 配置中找到 {WAS_HOME}\profiles\{profileName}\config\cells\{cellName}\wim\config\wimconfig.xmlprofile_root/conf/cells/<cell>/wim/config/wimconfig.xml 文件。
  11. 编辑 wimconfig.xml 文件。
    1. 在该文件中找到 <config:attributeConfiguration> 属性。
    2. 添加以下行:
      <config:attributes name="userPrincipalName" propertyName="cn">
      <config:entityTypes>PersonAccount</config:entityTypes>
      </config:attributes>
    注: wimconfig.xml 文件是通过管理控制台的处理覆盖的。添加至 wimconfig.xml 文件的以上 3 行可能会丢失。
  12. 保存 wimconfig.xml 文件。
  13. 对配置中的所有节点运行 profile_root/bin/syncNode.batprofile_root/syncNode.bar/sh 脚本。

结果

避免故障 避免故障: 如果选择其中任何方案,请参阅相应 Microsoft Active Directory 信息以完整了解这些方案对您的配置规划的任何可能影响。gotcha

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_was_ad_filter
文件名:tsec_was_ad_filter.html