使用 iSeries 导航器来配置企业身份映射 (EIM) 供标识令牌连接工厂使用。
开始之前
对于这些步骤,假定您的 EIM 控制器(即轻量级目录访问协议 (LDAP) 目录服务器)是本地目录服务器,并位于将为 EIM 配置的 iSeries 服务器上。有关 EIM 的详细信息,请参阅企业身份映射。
您需要 LDAP 服务器管理员专有名称 (DN) 和密码才能执行本任务。
过程
- 标识令牌连接工厂要求您配置 EIM 域。
在 EIM 中创建域:
注: 根据机器的设置,这些步骤的顺序可能稍有不同。假定已配置 LDAP,但尚未配置网络认证服务。
- 确保 LDAP 服务器已启动。 可以验证 LDAP 服务器管理员专有名称 (DN) 和密码。但是,请注意,向导稍后会停止
LDAP 服务器。
- 在 iSeries 导航器中,展开 server_name >
网络 > 企业身份映射,其中 server_name 是 iSeries
服务器的名称。
- 单击企业身份映射。
- 右键单击配置并选择配置以启动“EIM 配置”向导。
注: 如果系统上先前已配置 EIM,那么此选项标记为重新配置。
- 在向导的“欢迎”页面上,选择创建并连接新域。
- 单击下一步。
- 在“指定 EIM 域位置”页面上,选择在本地目录服务器上,然后单击下一步。
- 如果系统上尚未配置网络认证服务以设置单点登录环境,那么会显示“配置网络认证服务”页面。网络认证服务对于 EIM 标识令牌连接工厂不是必需的。选择否,然后单击下一步。
- 在“指定连接的用户”页面上,指定 LDAP 管理员的专有名称和密码,以确保向导有足够的权限来管理
EIM 域和其中的对象。单击下一步。
注: 如果您使用的是“EIM 配置”向导前尚未配置本地目录服务器,那么会显示“配置目录服务器”页面。使用本页面指定 LDAP 管理员的专有名称和密码并继续执行此过程中的下一个步骤。LDAP 专有名称 (DN) 标识目录服务器的 LDAP 管理员。“EIM 配置”向导创建此 LDAP 管理员 DN,并使用它将目录服务器配置成您正在创建的新域的域控制器。
- 在“指定域”页面上,提供 EIM 域的名称,并单击下一步。
- 在“指定域的父 DN”上,选择是以便为您正在创建的域指定父 DN,或指定否以将
EIM 数据存储在其后缀名称源自 EIM 域名的目录位置。单击下一步。
- 显示一条消息,指示您必须停止 LDAP 服务器。单击是以继续。
- 在“注册表信息”页面上,指定本地 OS/400,然后单击下一步。
- 在“指定 EIM 系统用户”页面上,选择专有名称和密码作为用户类型,提供目录服务器管理员的 DN 和密码,并验证 DN 和密码(可选)。单击下一步。
- 在“摘要”面板中,复审您提供的配置信息。如果所有信息都正确,请单击完成。
- 将域添加到域管理:
- 在 iSeries 导航器中,展开 system_name > 网络 > 企业身份映射 > 域管理。
- 右键单击域管理,然后选择添加域。
- 在“添加域”对话框中,指定您先前创建的域并单击确定。
- 在 EIM 中创建源用户注册表定义。
标识令牌连接工厂要求 EIM 中有源用户注册表定义条目。源用户注册表定义表示 WebSphere® Application Server 用于认证的注册表。此注册表可以是本地操作系统注册表或 LDAP 注册表。
- 在 iSeries 导航器中,展开 system_name > 网络 > 企业身份映射 > 域管理 > domain_name > 用户注册表。
- 如果系统提示您输入 LDAP 服务器密码,请提供密码并单击确定。
- 右键单击用户注册表并选择添加注册表 > 系统以启动将注册表添加到域的配置向导。
提供注册表名称和类型。如果应用程序服务器位于 iSeries 服务器中并被配置成使用本地操作系统用户注册表,请选择 OS/400 作为 EIM 用户注册表类型。如果应用程序服务器配置成使用 LDAP 用户注册表,那么输入 LDAP - 短名称作为 EIM 注册表类型。
注: 在 IBM i V5R4 的前面,请使用 1.3.18.02.33.14-caseIgnore 取代 LDAP - 短名称。值 1.3.18.02.33.14-caseIgnore 是用户注册表类型的对象标识规范化格式,主体由 LDAP 短名称属性标识。向导不处理此注册表类型的描述性名称。
- 单击确定。
- 在 EIM 中创建用户标识
标识令牌连接工厂需要一个用户标识条目,该条目等价于 EIM 标识;在
EIM 中,用户标识条目表示应用程序的用户。
- 在 iSeries 导航器中,展开 system >
网络 > 企业身份映射 > 域管理 > domain > 标识。
- 右键单击标识并选择新建标识。
- 输入标识名称(如您的全名),并单击确定。
- 在 EIM 中为用户标识创建目标关联。
目标关联表示目标 iSeries 服务器上用于以前创建的标识的用户概要文件。
- 在 iSeries 导航器中,展开 system > 网络 > 企业身份映射 > 域管理 > domain > 标识。
- 为先前创建的用户双击应用程序标识。
- 单击关联选项卡。
- 单击添加。
- 提供“用户”字段中 EIM 标识的 IBM i 用户概要文件并单击确定。
- 单击确定以保存关联。
- 在 EIM 中为用户标识创建源关联。
源关联用来向 WebSphere Application Server 认证。
- 在 iSeries 导航器中,展开 system > 网络 > 企业身份映射 > 域管理 > domain > 标识。
- 为先前创建的用户双击应用程序标识。
- 单击关联选项卡。
- 单击添加。
- 单击浏览并选择 WebSphere Application Server 用户注册表。
- 指定 WebSphere Application Server 用户标识,如 my_id。
- 选择源。
- 单击确定以添加新的关联。
- 单击确定以保存关联。
- 可选: 测试与 EIM 域控制器的连接。
使用 idsldapsearch命令测试与 EIM 域控制器的连接。例如,如果 LDAP 服务器位于 my_server 主机上,EIM 域名是 My_EIM_Domain,并且源用户注册表是 WAS 注册表,那么测试该连接的步骤如下:
- 登录到主管 WebSphere Application Server 概要文件的 iSeries 服务器。
- 在 CL 命令行上,指定 QSH 并按 Enter 键。
- 指定以下命令并按 Enter 键:
idsldapsearch -h my_server -p 389 -D cn=administrator
-w secret -b "ibm-eimDomainName=My_EIM_Domain"
"ibm-eimRegistryName=WAS_Registry"
其中:
- my_server 是 LDAP 服务器的主机服务器名称。
- 389 是由 LDAP 服务器使用的端口。
- cn=administrator 是 LDAP 管理员的 LDAP DN。
- secret 是 LDAP 管理员密码。
- ibm-eimDomainName=My_EIM_Domain 是 EIM 域名条目的 LDAP DN。
以上各行显示为多行仅为了便于说明。请在一个连续行上指定该命令。
在本示例中,不存在 EIM 域的父名。如果存在 EIM 域的父名(如 dc=myserver,dc=ibm,dc=com),那么 LDAP DN 是 ibm-eimDomainName=My_EIM_Domain,dc=myserver,dc=ibm,dc=com。
结果
期望的输出类似于以下所示:
ibm-eimRegistryName=WAS Registry,cn=Registries,ibm-eimdomainname=My_EIM_Domain
objectclass=top
objectclass=ibm-eimRegistry
objectclass=ibm-eimSystemRegistry
ibm-eimRegistryName=WAS_Registry
ibm-eimRegistryType=1.3.18.0.2.33.9-caseIgnore
description=Example Registry for WebSphere Application Server
下一步做什么
配置 EIM 标识令牌连接工厂。请参阅
配置企业身份映射身份令牌连接工厂。