可以将轻量级目录访问协议 (LDAP) 用户注册表与任何受 WebSphere® Application Server 支持的认证机制配合使用。因此,有必要将用户添加到您想要具有授权以访问应用程序服务器资源的 LDAP 目录。
关于此任务
本信息特定于 iSeries Directory Services 产品。
添加用户有多种方法。但是,最容易的方法是创建“LDAP 数据交换格式”(LDIF) 文件。该文件包含一组要添加到目录的用户。该文件由 LDAP 实用程序(例如,idsldapmodify)使用。可以从操作系统或工作站运行这些实用程序。如果从操作系统运行这些 LDAP 实用程序,那么您的 LDAP 文件必须位于集成文件系统中。
完成以下步骤以将用户添加到 LDAP 用户注册表:
过程
- 创建一个 LDIF 文件并将它保存在集成文件系统中。 使用“编辑文件”(EDTF) 实用程序或工作站文本编辑器来创建该文件。通过映射驱动器或使用文件传输协议 (FTP) 将文件保存在集成文件系统中。
对于 WebSphere Application Server 和 LDAP 目录服务,请在目录中创建对应于 ePerson 模式定义的条目。
一个简单的 ePerson LDIF 条目类似于以下示例:
dn: cn=John Doe, ou=Rochester, o=IBM, c=US
objectclass: person
objectclass: inetOrgPerson
objectclass: top
objectclass: organizationalPerson
objectclass: ePerson
cn: John Doe
sn: Doe
uid: jdoe
userpassword: secretpass
此 LDIF 条目为用户 John Doe 定义 ePerson。John 的用户标识(uid)被设为 jdoe,他的密码被设为 secretpass。此条目位于美国的 IBM® 组织中的 Rochester 组织单位内。在定义此 ePerson 条目前,已定义每个包含条目的
ou、o 和 c。可以在同一文件中定义一系列 LDIF 条目,来为 WebSphereApplication Server 定义轻量级第三方认证 (LTPA) 用户。
如果您没有对 userpassword 属性指定值,那么 LDAP 服务器尝试使用本地操作系统中由 uid 属性值标识的用户概要文件来认证 LTPA 用户。如果用户具有操作系统的用户概要文件并且不想管理操作系统用户注册表和 LDAP 目录中的密码,那么可能需要执行此操作。
当您创建 ePerson 条目时,确保 cn 和 uid 属性各自具有一个唯一值。不要创建两个其 cn 和 uid 属性值相同的条目。
要点: 如果您具有大型用户注册表,那么当“组成员标识映射”属性保留为缺省值(同时为 groupOfNames:member 和 groupOfUniqueNames:uniqueMember)时,登录性能可能会受到严重影响。
要解决此性能问题,请指定这些对象类中的一个,而不要同时指定两个。然后您必须只使用所选对象类来实现用户注册表中的组。
- 将 LDIF 文件条目导入服务器上的目录。 在 Qshell 解释器(QSH)中或从工作站使用 LDAP ldapadd 实用程序。
下一步做什么
有关导入 LDIF
条目的更多信息,请参阅 IBM i 6.1 和 7.1 信息中心中的目录服务文档。