[IBM i]

配置企业身份映射

使用 iSeries 导航器来配置企业身份映射 (EIM) 供标识令牌连接工厂使用。

开始之前

对于这些步骤,假定您的 EIM 控制器(即轻量级目录访问协议 (LDAP) 目录服务器)是本地目录服务器,并位于将为 EIM 配置的 iSeries 服务器上。有关 EIM 的详细信息,请参阅企业身份映射

您需要 LDAP 服务器管理员专有名称 (DN) 和密码才能执行本任务。

提示: 一个服务器一次只能参与一个 EIM 域。如果您的服务器已连接到某个 EIM 域且该域已添加到域管理中,请使用该域并跳至在 EIM 中创建源用户注册表定义

过程

  1. 标识令牌连接工厂要求您配置 EIM 域。
    在 EIM 中创建域:
    注: 根据机器的设置,这些步骤的顺序可能稍有不同。假定已配置 LDAP,但尚未配置网络认证服务。
    1. 确保 LDAP 服务器已启动。 可以验证 LDAP 服务器管理员专有名称 (DN) 和密码。但是,请注意,向导稍后会停止 LDAP 服务器。
    2. 在 iSeries 导航器中,展开 server_name > 网络 > 企业身份映射,其中 server_name 是 iSeries 服务器的名称。
    3. 单击企业身份映射
    4. 右键单击配置并选择配置以启动“EIM 配置”向导。
      注: 如果系统上先前已配置 EIM,那么此选项标记为重新配置
    5. 在向导的“欢迎”页面上,选择创建并连接新域
    6. 单击下一步
    7. 在“指定 EIM 域位置”页面上,选择在本地目录服务器上,然后单击下一步
    8. 如果系统上尚未配置网络认证服务以设置单点登录环境,那么会显示“配置网络认证服务”页面。网络认证服务对于 EIM 标识令牌连接工厂不是必需的。选择,然后单击下一步
    9. 在“指定连接的用户”页面上,指定 LDAP 管理员的专有名称和密码,以确保向导有足够的权限来管理 EIM 域和其中的对象。单击下一步
      注: 如果您使用的是“EIM 配置”向导前尚未配置本地目录服务器,那么会显示“配置目录服务器”页面。使用本页面指定 LDAP 管理员的专有名称和密码并继续执行此过程中的下一个步骤。LDAP 专有名称 (DN) 标识目录服务器的 LDAP 管理员。“EIM 配置”向导创建此 LDAP 管理员 DN,并使用它将目录服务器配置成您正在创建的新域的域控制器。
    10. 在“指定域”页面上,提供 EIM 域的名称,并单击下一步
    11. 在“指定域的父 DN”上,选择以便为您正在创建的域指定父 DN,或指定以将 EIM 数据存储在其后缀名称源自 EIM 域名的目录位置。单击下一步
    12. 显示一条消息,指示您必须停止 LDAP 服务器。单击以继续。
    13. 在“注册表信息”页面上,指定本地 OS/400,然后单击下一步
    14. 在“指定 EIM 系统用户”页面上,选择专有名称和密码作为用户类型,提供目录服务器管理员的 DN 和密码,并验证 DN 和密码(可选)。单击下一步
    15. 在“摘要”面板中,复审您提供的配置信息。如果所有信息都正确,请单击完成
  2. 将域添加到域管理:
    1. 在 iSeries 导航器中,展开 system_name > 网络 > 企业身份映射 > 域管理
    2. 右键单击域管理,然后选择添加域
    3. 在“添加域”对话框中,指定您先前创建的域并单击确定
  3. 在 EIM 中创建源用户注册表定义。

    标识令牌连接工厂要求 EIM 中有源用户注册表定义条目。源用户注册表定义表示 WebSphere® Application Server 用于认证的注册表。此注册表可以是本地操作系统注册表或 LDAP 注册表。

    1. 在 iSeries 导航器中,展开 system_name > 网络 > 企业身份映射 > 域管理 > domain_name > 用户注册表
    2. 如果系统提示您输入 LDAP 服务器密码,请提供密码并单击确定
    3. 右键单击用户注册表并选择添加注册表 > 系统以启动将注册表添加到域的配置向导。

      提供注册表名称和类型。如果应用程序服务器位于 iSeries 服务器中并被配置成使用本地操作系统用户注册表,请选择 OS/400 作为 EIM 用户注册表类型。如果应用程序服务器配置成使用 LDAP 用户注册表,那么输入 LDAP - 短名称作为 EIM 注册表类型。

      注: 在 IBM i V5R4 的前面,请使用 1.3.18.02.33.14-caseIgnore 取代 LDAP - 短名称。值 1.3.18.02.33.14-caseIgnore 是用户注册表类型的对象标识规范化格式,主体由 LDAP 短名称属性标识。向导不处理此注册表类型的描述性名称。
    4. 单击确定
  4. 在 EIM 中创建用户标识

    标识令牌连接工厂需要一个用户标识条目,该条目等价于 EIM 标识;在 EIM 中,用户标识条目表示应用程序的用户。

    1. 在 iSeries 导航器中,展开 system > 网络 > 企业身份映射 > 域管理 > domain > 标识
    2. 右键单击标识并选择新建标识
    3. 输入标识名称(如您的全名),并单击确定
  5. 在 EIM 中为用户标识创建目标关联。

    目标关联表示目标 iSeries 服务器上用于以前创建的标识的用户概要文件。

    1. 在 iSeries 导航器中,展开 system > 网络 > 企业身份映射 > 域管理 > domain > 标识
    2. 为先前创建的用户双击应用程序标识
    3. 单击关联选项卡。
    4. 单击添加
    5. 提供“用户”字段中 EIM 标识的 IBM i 用户概要文件并单击确定
    6. 单击确定以保存关联。
  6. 在 EIM 中为用户标识创建源关联。

    源关联用来向 WebSphere Application Server 认证。

    1. 在 iSeries 导航器中,展开 system > 网络 > 企业身份映射 > 域管理 > domain > 标识
    2. 为先前创建的用户双击应用程序标识
    3. 单击关联选项卡。
    4. 单击添加
    5. 单击浏览并选择 WebSphere Application Server 用户注册表。
    6. 指定 WebSphere Application Server 用户标识,如 my_id
    7. 选择
    8. 单击确定以添加新的关联。
    9. 单击确定以保存关联。
  7. 可选: 测试与 EIM 域控制器的连接。

    使用 idsldapsearch命令测试与 EIM 域控制器的连接。例如,如果 LDAP 服务器位于 my_server 主机上,EIM 域名是 My_EIM_Domain,并且源用户注册表是 WAS 注册表,那么测试该连接的步骤如下:

    1. 登录到主管 WebSphere Application Server 概要文件的 iSeries 服务器。
    2. 在 CL 命令行上,指定 QSH 并按 Enter 键。
    3. 指定以下命令并按 Enter 键:
      idsldapsearch -h my_server -p 389 -D cn=administrator 
      -w secret -b "ibm-eimDomainName=My_EIM_Domain" 
      "ibm-eimRegistryName=WAS_Registry"
      其中:
      • my_server 是 LDAP 服务器的主机服务器名称。
      • 389 是由 LDAP 服务器使用的端口。
      • cn=administrator 是 LDAP 管理员的 LDAP DN。
      • secret 是 LDAP 管理员密码。
      • ibm-eimDomainName=My_EIM_Domain 是 EIM 域名条目的 LDAP DN。

      以上各行显示为多行仅为了便于说明。请在一个连续行上指定该命令。

      在本示例中,不存在 EIM 域的父名。如果存在 EIM 域的父名(如 dc=myserver,dc=ibm,dc=com),那么 LDAP DN 是 ibm-eimDomainName=My_EIM_Domain,dc=myserver,dc=ibm,dc=com

结果

期望的输出类似于以下所示:

ibm-eimRegistryName=WAS Registry,cn=Registries,ibm-eimdomainname=My_EIM_Domain
   objectclass=top
   objectclass=ibm-eimRegistry
   objectclass=ibm-eimSystemRegistry
   ibm-eimRegistryName=WAS_Registry
   ibm-eimRegistryType=1.3.18.0.2.33.9-caseIgnore
   description=Example Registry for WebSphere Application Server

下一步做什么

配置 EIM 标识令牌连接工厂。请参阅配置企业身份映射身份令牌连接工厂

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_idtokenconfigeim
文件名:tsec_idtokenconfigeim.html