有关在 Microsoft Active Directory 林中查找组成员资格的选项

要认证用户,需要在 Microsoft Active Directory 林中查找组成员资格。可以使用多种方式在 Microsoft Active Directory 林中查找组成员资格。

下图描述了 Microsoft Active Directory 林中的组成员资格的示例。此图用来说明用于查找组成员资格的方式。

图 1. 查找组成员资格。. 用来说明用于查找组成员资格的方式的一副插图。查找组成员资格
  • 选项 1 不使用嵌套组,下列步骤描述了使用假想的组织结构来查找组成员资格的过程。
    • 创建全局组 NA 职员
    • 创建全局组 EU 职员
    • 将 Java™ Platform Enterprise Edition (Java EE) 角色映射至 NA 职员 + EU 职员。如果有太多子域,那么此映射可能会难以管理。
    • 启用引荐。
      在 WebSphere® Application Server V6.1 中,使用联合存储库,具体来说:
      • 使用联合领域。
      • 将 Microsoft Active Directory 顶级域控制器添加至存储库。请勿添加子域控制器。这样做会导致在搜索用户标识时找到多个匹配项。存在多个匹配项会导致用户登录失败。
      • 选择支持对其他 LDAP 服务器的引荐”=“遵循
  • 选项 2 使用通用组。
    • 将各个用户放入通用组职员中。
      需求:
      • 需要 Windows 2003 本机域功能级别。
      • 用户标识必须直接包含在通用组中。
    • 将 Java EE 角色映射至职员
    • 连接至林中的任何全局目录。
      提示: 此选项会减少目录查询流量。WebSphere Application Server 不必遵循目录树中的所有引荐。也就是说,每个域控制器可以完全在本地解析组信息。
  • 选项 3 使用嵌套组。
    • 创建通用组职员
    • 创建 NA 职员EU 职员作为全局组,并使它们成为职员通用组中的成员。
      需求: Windows 本机域功能级别。
    • 将 Java JEE 角色映射至“职员”。
    • 启用引荐。
      对于 WebSphere Application Server V6.1,使用联合存储库,具体来说:
      • 使用联合领域。
      • 将 Active Directory 顶级域控制器添加至存储库。请勿添加子域控制器,因为这将导致搜索用户标识时产生多个匹配项,从而导致登录失败。
      • 选择“支持对其他 LDAP 服务器的引荐”=“遵循”
    • 启用嵌套组。
    提示: 使用 WebSphere Application Server V6.1 或更高版本时,此选项将提供最佳方法。在 WebSphere Application Server V6.1 之前,尚不正式支持引荐。

总结

下表总结了如何在 Microsoft Active Directory 林中查找组成员资格。
表 1. 查找组成员资格。. 下表标识了在 Microsoft Active Directory 林中受支持的组成员资格级别。
组成员资格 将 Java EE 角色映射至 绑定至哪个 LDAP 启用 在 WebSphere Application Server 版本中受支持 注释
全局组 全局组集合 使用端口 389/636 的顶级域控制器 引荐
  • WebSphere Application Server 中的联合存储库
 
通用组 通用组 任何全局目录,使用端口 3268   全部  
通用组中的全局组 通用组 使用端口 389/636 的顶级域控制器 引荐,嵌套
  • WebSphere Application Server 中的联合存储库
无法使用 Windows 混合域功能级别

进行配置以使用 objectCategory 属性

缺省情况下,联合存储库将 objectCategory 属性用于 Active Directory 用户搜索过滤器。您可以确保已配置联合存储库以使用 objectCategory 属性。例如,联合存储库配置文件 wimconfig.xml 应为以下示例中所示:
<supportedLDAPEntryType name="user" searchFilter="(objectCategory=user)"...>
<supportedLDAPEntryType name="Group" searchFilter="(objectCategory=Group)"...>
如以下示例所示配置用户过滤器和组过滤器(高级属性):
User Filter: (&(sAMAccountName=%v)(objectCategory=user))
Group Filter: (&cn=%v)(objectCategory=group)
在管理控制台中遵循下列指示信息以使用 objectCategory 属性来完成搜索过滤器:
  1. 单击安全性 > 全局安全性
  2. 在“可用领域定义”下,选择联合存储库,然后单击配置。在多安全域环境中,单击安全域 > domain_name。在“安全性属性”下面,展开“用户领域”,然后单击为此域进行定制。 将领域类型选择为联合存储库,然后单击配置
  3. 在“相关项”下,单击管理存储库
  4. 选择林 > LDAP 实体类型 > PersonAccount。在“常规属性”下,查找搜索过滤器框。
  5. 填写搜索过滤器。
    (objectCategory=user)
避免故障 避免故障: 当您选择要使用的任何这些方案时,请参阅相应的 Microsoft Active Directory 信息,以彻底了解这些方案可能对于配置规划具有的任何含义。gotcha

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_was_ad_group_mem
文件名:csec_was_ad_group_mem.html