使用 Microsoft Active Directory 进行认证

许多安装使用 Microsoft Active Directory 作为管理用户认证和用户数据的主要组件。Microsoft Active Directory 的一个部分提供了轻量级目录访问协议 (LDAP) 服务。WebSphere® Application Server 支持 LDAP,因此 WebSphere Application Server 支持 Microsoft Active Directory。

虽然 Microsoft Active Directory 完全符合 LDAP,但是它公开 LDAP 信息的方式可能会使得难以获得 WebSphere Application Server 的目录信息。

WebSphere Application Server 以这样一种方式运行:假定单个 LDAP 目录中包含运行所需要的所有信息。采用复杂的 Microsoft Active Directory 配置时,情况并非如此。WebSphere Application Server - Microsoft Active Directory 安装版本必须处理由于数据在林中的域控制器中传播的方式而面对的唯一挑战。

Microsoft Active Directory 安装版本频繁使用林。因此,与用户标识唯一性有关的安全性问题、可靠地获取用户组信息以及林中的组成员资格就变得很重要。

下图重点说明了典型的 Microsoft Active Directory 安装环境。

图 1. Microsoft Active Directory 林. 这是 Microsoft Active Directory 林的一副插图。这是 Microsoft Active Directory 林的一副插图。

此图说明了一个或多个树的两个林。一个树可以包含一个或多个域,而域是单个原子单元,是组成结构化环境的基础。每个域由专有名称 (DN) 的主要域部分组成,例如,dc=acme, dc=com。一个林可以信任其他林(此信任基于 Kerberos)。

用于 WebSphere Application Server 的 Microsoft Active Directory 配置

可能有用于 WebSphere Application Server 的各种 Microsoft Active Directory 配置,这些配置包括:
  • 简单配置
  • 典型配置
  • 不太典型的配置
  • 极少的配置

最简单的配置由一个表示单个域的独立 LDAP 注册表组成。此配置表示 WebSphere Application Server 与 Microsoft Active Directory 之间最紧密的拟合。在此配置中,通过 WebSphere Application Server 独立 LDAP 用户注册表实现来支持 Microsoft Active Directory。或者,您可以通过联合存储库注册表(它包含单个 LDAP 存储库)来访问此单个 Microsoft Active Directory 域。

除了简单的单个域 Microsoft Active Directory 配置之外,典型 Microsoft Active Directory 配置由林中的单个树组成,该树的每个分支就是一个域。以下示例中显示了此配置的一个示例,此配置由四个域(A、B、C 和 D)的单个树组成:

图 2. 典型的林配置. 典型的林配置。这是典型的林配置的一副插图
配置(例如,此配置)频繁地具有按地理位置或者组织单位进行组织的域。必须使用此“单个树”Microsoft Active Directory 实现的 WebSphere Application Server 注册表配置需要使用联合存储库。此配置包含一个 LDAP 注册表,以将多个用户存储库中的条目映射至单个虚拟存储库。这些配置将创建具有所指定的单个领域的联合用户存储库以及单个存储库中的 LDAP 子树。该存储库的根将映射至该联合存储库中的基本条目,它是虚拟领域的分层名称空间中的起始点。在此配置中进行 LDAP 搜索将继续绑定至顶层域对象以及后续的 LDAP 引荐。
避免故障 避免故障: WebSphere Application Server 中的独立 LDAP 注册表不支持 LDAP 引荐,并且无法用于 WebSphere Application Server - Microsoft Active Directory 配置。gotcha

不太典型的 WebSphere Application Server - Microsoft Active Directory 配置通过合并大型企业的组织单位演化而来。域的单个林一旦为企业提供服务,通过合并若干新的组织单位就可以向该林添加树,甚至可以向环境中添加多个林。在此环境中,WebSphere Application Server LDAP 配置要求更仔细地设计。在单独的 LDAP 存储库映射至林中的每个树顶层的环境中,您必须使用联合存储库注册表。此外,如果 Microsoft Active Directory 树存在于顶层域下,那么必须为 LDAP 注册表启用 LDAP 引荐。通过合并而获得的林可能如下图所示:

图 3. 不太典型的配置. 描述了树的合并的不太典型的配置描述了树的合并的不太典型的配置

极少的配置由所配置的 Microsoft Active Directory 域组成,这些域由用户林和组林组合而成。用户作为 ForeignSecurityPrincipals 对象导入到组林。组中包含 ForeignSecurityPrincipals 对象的专有名称 (DN) 并将其作为成员。

在这种形式的配置中,不会直接进行组查询。将通过在多个注册表中进行静态组查询来完成查询。此配置需要定制用户注册表。但是,WebSphere Application Server 注册表不支持此类型的配置。请参阅下图。

图 4. 资源模型林. 这是资源模型林的一副插图。这是资源模型林的一副插图。

使用 Microsoft Active Directory 林作为 LDAP - 用户过滤器

跨越多个存储库或者分布式 LDAP(例如,Microsoft Active Directory 林配置)来认证用户可能会面对挑战。在对整个注册表进行任何搜索时,如果在运行时有多个匹配项,那么认证将失败,因为匹配结果不明确。在多个 Microsoft Active Directory 域环境中,WebSphere Application Server 管理员必须考虑 Microsoft Active Directory 中的缺省唯一标识是用户的 sAMAccountName 属性。将保证用户标识在单个域中是唯一的,但是无法保证所给定用户标识在树或者林中是唯一的。请参阅“向 Microsoft Active Directory 林中的 LDAP 注册表认证用户”主题以了解如何使用用户的 sAMAccountName 属性在 Microsoft Active Directory 林中搜索用户标识。

避免故障 避免故障: 选择任何这些方案之前,请参阅适当的 Microsoft Active Directory 信息以彻底了解这些方案可能对于配置规划具有的任何含义。gotcha

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad
文件名:csec_was_ad.html