Sie können die Mitgliedsattribute und das Zugehörigkeitsattribut in Virtual Member Manager konfigurieren, um nach einer Gruppenzugehörigkeitsbeziehung in einem LDAP-Server zu suchen.
Es gibt zwei Verfahren, um eine Gruppe und ihre Mitglieder (z. B. Entitäten "PersonAccount") zu speichern:
- Die Entität "PersonAccount" besitzt ein Attribut (z. B. "memberof"), das auf die Gruppen verweist, zu denen diese Person gehört.
Das Attribut "memberof" wird in diesem Beispiel als Gruppenzugehörigkeitsattribut bezeichnet.
- Die Entität "Group" besitzen ein Attribut (z. B. "member"), das auf ihre Mitglieder verweist.
Das Attribut "member" wird in diesem Beispiel als Gruppenmitgliedsattribut bezeichnet.
Das folgende Beispiel zeigt eine Gruppenzugehörigkeit in einem LDAP-Server:
- Group
cn=grp1,dc=com with attribute 'member' value: uid=usr1,dc=com
- PersonAccount
uid=usr1,dc=com with attribute 'memberof' value: cn=grp1,dc=com
Die entsprechende Konfiguration für die Attribute "member" und "membership" in der Datei "wimconfig.xml" ist nachfolgend dargestellt:
<config:groupConfiguration>
<config:memberAttributes name="member" objectClass="group" scope="direct"/>
<config:membershipAttribute name="memberof" scope="direct"/>
</config:groupConfiguration>
- memberAttributes
- Verwenden Sie die Konfiguration für "memberAttributes", um das LDAP-Attribut anzugeben, in dem die Mitglieder einer Entität "Group" in LDAP gespeichert sind.
- membershipAttribute
- Verwenden Sie die Konfiguration für "membershipAttribute", um das LDAP-Attribut anzugeben, in dem die Gruppe einer Entität "PersonAccount" in LDAP gespeichert ist.
Tipp für die Leistung: Falls es im LDAP-Server mehrere Gruppen gibt,
konfigurieren Sie "membershipAttribute" in Virtual Member Manager, um ein besseres Leistungsverhalten zu erzielen, wenn nach einer Gruppenzugehörigkeitsbeziehung gesucht wird.
Falls es gleichzeitig Konfigurationen für mehrere Instanzen "memberAttribute" und "membershipAttribute" gibt, hat
die Konfiguration von "membershipAttribute" Vorrang beim Abrufen von Gruppen, zu denen ein Benutzer gehört (z. B. in einem Anmeldungsszenario), wohingegen die Konfiguration von "memberAttributes" Vorrang beim Abrufen der Benutzer einer Gruppe hat.