将独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置

配置应用程序服务器的安全性时,您可能需要将独立 LDAP 注册表迁移至联合存储库 LDAP 存储库配置。

开始之前

请记下您要迁移的独立 LDAP 存储库的规范,以便在联合存储库中配置 LDAP 存储库时作为参考。要访问这些字段,请在管理控制台上单击安全性 > 全局安全性,然后在“用户帐户存储库”下,从“可用的领域定义”字段中选择独立 LDAP 注册表或者联合存储库,然后单击配置。要在多安全域环境中访问这些字段,请单击安全性 > 全局安全性 > 安全域 > domain_name,然后在“安全性属性”下面展开“用户领域”,并单击为此域进行定制。将领域类型选择为独立 LDAP 注册表联合存储库,然后单击配置

避免故障 避免故障: 如果您不熟悉如何使用 LDAP 属性,尤其是用户过滤器属性和组过滤器属性,请与 LDAP 管理员联系以帮助您为这些属性设置适合于系统的值。gotcha

下表显示管理控制台面板和独立 LDAP 存储库配置的字段及其在联合存储库 LDAP 存储库配置中的对应字段以便映射。

表 1. 独立 LDAP 存储库配置与联合存储库 LDAP 存储库配置之间的映射. 此表说明独立 LDAP 存储库配置与联合存储库 LDAP 存储库配置之间的映射。
独立 LDAP 存储库配置 联合存储库配置中的 LDAP 存储库
全局安全性 > 独立 LDAP 注册表

常规属性 - 主要管理用户名

全局安全性 > 联合存储库

常规属性 - 主要管理用户名

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - LDAP 服务器的类型

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

LDAP 服务器 - 目录类型

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 主机

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

LDAP 服务器 - 主要主机名

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 端口

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

LDAP 服务器 - 端口

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 故障转移主机

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

LDAP 服务器 - 主要服务器不可用时使用的故障转移服务器

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 基本专有名称 (DN)

全局安全性 > 联合存储库 > 存储库引用(单击“将基本条目添加至领域”)

常规属性 - 用于在领域中唯一标识此条目集的基本条目的专有名称

常规属性 - 此存储库中的基本条目的专有名称

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 搜索超时

全局安全性 > 联合存储库 > 管理存储库 > repository_ID > 性能

常规属性 - 限制搜索时间

全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 定制属性

全局安全性 > 联合存储库 > 定制属性
全局安全性 > 独立 LDAP 注册表

LDAP 服务器 - 服务器用户身份

全局安全性 > 联合存储库

常规属性 - 服务器用户身份

全局安全性 > 独立 LDAP 注册表

安全性 - 绑定专有名称 (DN)

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

安全性 - 绑定专有名称

全局安全性 > 独立 LDAP 注册表

安全性 - BIND 密码

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

安全性 - BIND 密码

全局安全性 > 独立 LDAP 注册表 > 高级轻量级目录访问协议 (LDAP) 用户注册表设置

常规属性 - Kerberos 用户过滤器

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

安全性 - 用于 Kerberos 主体名称的 LDAP 属性

全局安全性 > 独立 LDAP 注册表 > 高级轻量级目录访问协议 (LDAP) 用户注册表设置

常规属性 - 证书映射方式

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

安全性 - 证书映射

全局安全性 > 独立 LDAP 注册表 > 高级轻量级目录访问协议 (LDAP) 用户注册表设置

常规属性 - 证书过滤器

全局安全性 > 联合存储库 > 管理存储库 > repository_ID

安全性 - 证书过滤器

上表中未列示联合存储库 LDAP 配置面板中“常规属性”下的“领域名”字段,因为该字段与独立 LDAP 配置面板中的字段没有一一对应关系。主机名和端口号表示独立 LDAP 服务器在 WebSphere Application Server 单元中的领域名。有关更改域名的信息,请参阅“领域配置设置”主题。

上表中还未列示“用户过滤器”、“组过滤器”、“用户标识映射”、“组标识映射“和”组成员标识”映射字段,因为他们与联合存储库 LDAP 存储库配置面板中的字段没有一一对应关系。这些 LDAP 属性在联合存储库 LDAP 存储库配置中以不同方式设置,并涉及多个步骤。下面几节和过程中详细说明了这些设置。

关于此任务

从独立 LDAP 存储库配置迁移至联合存储库 LDAP 存储库配置涉及迁移配置参数,其中大部分直接显示在上一节的表 1 中。迁移搜索过滤器是将独立 LDAP 存储库配置迁移至联合存储库 LDAP 配置过程的重要部分,因此,此处详细描述了 LDAP 搜索过滤器的概念和迁移。

独立 LDAP 注册表搜索过滤器遵循 LDAP 过滤器语法,您在其中指定搜索所依据的属性及其值。

用户过滤器用于在注册表中搜索用户。它用于通过使用过滤器中指定的属性来认证用户。

此组过滤器用于在注册表中搜索组。它指定查找组时所依据的属性。

常用 LDAP 用户过滤器的示例: 在搜索过滤器的以下示例中,%v 在运行时被替换为用户或组的对应搜索模式。

(&(uid=%v)(objectclass=ePerson))

搜索其 uid 属性与 ePerson 对象类的指定搜索模式相匹配的用户。

(&(cn=%v)(objectclass=user))

搜索其 cn 属性与 user 对象类的指定搜索模式相匹配的用户。

(&(sAMAccountName=%v)(objectcategory=user))

搜索其 sAMAccountName 属性与 user 对象类别的指定搜索模式相匹配的用户。

(&(userPrincipalName=%v)(objectcategory=user))

搜索其 userPrinciplalName 属性与 user 对象类别的指定搜索模式相匹配的用户。

(&(mail=%v)(objectcategory=user))

搜索其 mail 属性与 user 对象类别的指定搜索模式相匹配的用户。

(&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user))

搜索其 sAMAccountName 或 userPrincipalName 与 user 对象类别的指定搜索模式相匹配的用户。

常用组过滤器的示例:

(&cn=%v)(objectCategory=group)

根据常用名称 (cn) 来查找组。

(&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))

根据常用名称 (cn) 查找组或使用对象类 groupOfNames 或 groupOfUniqueNames 来查找组。

如这些示例中所示,独立 LDAP 注册表搜索过滤器由据其执行搜索或登录的 LDAP 属性和对象类组成。

还可指定联合存储库的 LDAP 适配器配置中的 LDAP 属性和对象类,但他们以不同方式配置,并且提供更高的灵活性。在联合存储库中,用户表示为 PersonAccount 实体类型,组表示为 Group 实体类型。每个实体类型都有它自己的 RDN(相对专有名称)属性 (rdnProperties) 和对象类。例如,PersonAccount 的缺省 RDN 属性为 uid,Group 的缺省 RDN 属性为 cn。缺省对象类映射依赖于 LDAP 服务器类型。例如,对于 Tivoli Directory Server,PersonAccount 的对象类为 inetOrgPerson,Group 的对象类为 groupOfNames。PersonAccount 还可能具有登录属性。用户登录或执行搜索以查找用户注册表中的用户时,这些登录属性与此模式相匹配。例如,如果登录属性为 uid 和 mail,那么对于搜索模式 a*,会返回与 uid=a* 或 mail=a* 相匹配的所有用户。

避免故障 避免故障: 您可以指定独立 LDAP 存储库的“用户标识映射”属性 (userIdMap) 值作为联合存储库中的 RDN 属性 (rdnProperties) 或首次登录属性 (loginProperties)。 虽然可以在联合存储库中同时设置 RDN 属性和登录属性,但仅设置 RDN 属性已足够。 登录属性是可选的,仅当登录属性与 RDN 属性不同或者有多个登录属性时,才需要设置登录属性。如果同时设置了 RDN 属性和登录属性,那么登录属性的优先顺序高于 RDN 属性。gotcha

迁移搜索过滤器涉及下列一个或多个步骤:设置正确的登录属性、将后端存储库的属性映射至联合存储库属性、设置对象类、通过使用对象类或对象类别来设置搜索过滤器以及设置成员或成员资格属性。联合存储库的此映射和配置保留在 wimconfig.xml 文件中。

独立 LDAP 注册表搜索过滤器可分为两个部分:
  • 用户或组属性过滤器
  • 用户或组对象类或对象类别过滤器
例如,在搜索过滤器 (&(cn=%v)(objectclass=user)) 中:
  • 属性过滤器为 (cn=%v)
  • 对象类过滤器为 (objectclass=user)
这两个过滤器在联合存储库配置中单独映射:
  • 属性过滤器映射至用户的 RDN 属性或登录属性配置以及组的 RDN 属性配置。
  • 对象类过滤器映射至 LDAP 适配器的实体类型配置。
缺省属性和对象类映射是根据 LDAP 服务器类型设置的,但可能需要其他步骤来迁移这两个过滤器:
  • 属性过滤器:
    • 设置 RDN 属性和/或登录属性(如果适用)
    • 将联合存储库属性映射至 LDAP 属性(如果适用)
  • 对象类过滤器:
    • 设置实体类型的对象类(如果适用)
    • 设置实体类型的搜索过滤器(如果适用)
以下过程中的某些步骤包括两个示例。在这些步骤中:
  • 示例 1 适用于您将搜索过滤器 (&(cn=%v)(objectclass=ePerson)) 从独立 IBM Tivoli Directory Server LDAP 存储库迁移至标识为 LDAPTDS 的联合存储库 LDAP 存储库的场景。
  • 示例 2 适用于您将搜索过滤器 (&(|(sAMAccountName=%v)(userPrincipalName=%v))(objectcategory=user)) 从独立 Microsoft Active Directory LDAP 存储库迁移至标识为 LDAPAD 的联合存储库 LDAP 存储库的场景。未在联合存储库中定义 sAMAccountName 和 userPrincipalName 属性,所以这些属性必须映射至联合存储库属性。

过程

  1. 将您要迁移的 LDAP 存储库添加至联合存储库配置。

    请参阅本主题的“开始之前”部分中的“表 1”,并遵循在“联合存储库”下面的新配置中配置单个轻量级目录访问协议存储库主题中描述的步骤。这些步骤包括指向必须完成的其他过程的链接,例如:

    • 在联合存储库配置中添加外部存储库。
    • 在联合存储库配置中配置受支持实体类型。
    • 在联合存储库配置中配置轻量级目录访问协议。

    完成这些步骤后,将在联合存储库配置中成功配置要迁移的 LDAP 存储库。

  2. 设置登录属性(如果适用)。

    登录属性是用于登录 WebSphere Application Server 的属性名。可通过将分号 (;) 用作定界符来指定多个登录属性。通常用作登录属性的联合存储库属性包括 uid、cn、sn、givenName、mail 等。

    要在管理控制台上设置登录属性,请遵循“轻量级目录访问协议存储库配置设置”主题中的步骤并应用“登录属性”部分中的设置。
    示例 1:登录属性字段中,输入 cn
    示例 2:登录属性字段中,输入 uid;cn

    完成步骤 3 以将这些属性映射至 LDAP 属性。

  3. 将联合存储库属性映射至 LDAP 属性(如果适用)。
    如果此 LDAP 属性并非联合存储库属性,那么您定义的登录属性必须映射至此 LDAP 属性。
    1. 在管理控制台中,单击安全性 > 全局安全性
    2. 在“用户帐户存储库”下,从“可用的领域定义”字段中选择联合存储库,然后单击配置。要配置多安全域环境中的某个特定域,请单击安全域 > domain_name。在“安全性属性”下面,展开用户领域,然后单击为此域进行定制。将领域类型选择为联合存储库,然后单击配置
    3. 在“相关项”下,单击管理存储库 > repository_ID,然后在“其他属性”下单击 LDAP 属性链接。
    4. 如果属性映射存在,那么必须先删除此 LDAP 属性的现有映射,然后为此属性添加新映射。选中 LDAP 属性名旁边的复选框并单击删除
    5. 要添加属性映射,请单击添加,然后从下拉菜单中选择受支持的。在名称字段中输入 LDAP 属性名,在属性名字段中输入联合存储库属性名,并在实体类型字段中输入应用属性映射的实体类型。
    示例 1: 因为联合存储库属性 cn 隐式映射至 cn LDAP 属性,所以不需要额外映射。
    示例 2: 此处搜索过滤器包括两个 LDAP 属性:sAMAccountName 和 userPrincipalName。
    • 对于 LDAP 服务器类型 Active Directory,LDAP 属性 sAMAccountName 缺省情况下映射至联合存储库属性 uid(如 LDAP 属性面板上的属性列表中所示)。因此,您不必执行 addIdMgrLDAPAttr 命令就可为 sAMAccountName 添加属性配置。
    • 如果 LDAP 属性 userPrincipalName 的属性映射存在,那么应在添加新配置前删除现有属性映射。
      1. 选中 userPrincalName 旁边的复选框并单击删除
      2. 单击添加,然后从下拉菜单中选择受支持的
      3. 名称字段中,输入 userPrincipalName
      4. 属性名字段中,输入 cn
      5. 实体类型字段中,输入 PersonAccount
  4. 设置实体类型的对象类(如果适用)。
    避免故障 避免故障: 执行此步骤之前,请检查当前映射。如果已设置对象类映射,请跳过此步骤。gotcha
    要在管理控制台上设置实体类型的对象类,请遵循“轻量级目录访问协议实体类型设置”主题中的步骤并应用“对象类”部分中的以下设置:
    • 指定 PersonAccount 作为用户过滤器的实体类型名称
    • 指定 Group 作为组过滤器的实体类型名称。
    示例 1:实体类型字段中,输入 PersonAccount

    对象类字段中,输入 ePerson

    示例 2:实体类型字段中,输入 PersonAccount

    对象类字段中,输入 user

  5. 设置实体类型的搜索过滤器(如果适用)。

    联合存储库根据对象类设置执行搜索。要更改此缺省设置并使用对象类别作为过滤器,请遵循“轻量级目录访问协议实体类型设置”主题中的步骤并应用“搜索过滤器”部分中的设置。

    示例 1: 因为搜索基于对象类,所以不需要任何其他配置。
    示例 2:搜索过滤器字段中,输入 (objectcategory=user)
  6. 要迁移组过滤器,还必须配置组属性定义设置。

    “在轻量级目录访问协议注册表中查找用户组成员资格”主题的“联合存储库注册表中的 LDAP 注册表”部分中指定了用于通过管理控制台配置组属性定义设置的步骤。还可使用“AdminTask 对象的 IdMgrRepositoryConfig 命令组”主题中描述的 wsadmin 命令 addIdMgrLDAPGroupDynamicMemberAttraddIdMgrLDAPGroupMemberAttr

  7. 保存配置更改
  8. 重新启动应用程序服务器。

结果

完成这些步骤后,就配置了要在联合存储库配置中使用的 LDAP 存储库。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_migrate_standaloneldap
文件名:twim_migrate_standaloneldap.html