LDAP-Szenario: eine Datenbank als Mitglieds-Repository

Eine Möglichkeit für die Verwendung des LDAP-Servers als Mitglieds-Repository ist, ein neues Exemplar von WebSphere Commerce zu erstellen und anzugeben, dass diese Instanz eine Datenbank als Mitglieds-Repository verwenden soll. Nachdem das Exemplar aktiv und konfiguriert ist, stellen Sie auf die Verwendung des LDAP-Servers als Mitglieds-Repository um. In diesem Szenario verwenden Sie den Konfigurationsmanager, um auf die Verwendung des LDAP-Servers als Mitglieds-Repository umzustellen, nachdem ein WebSphere Commerce-Exemplar mit einer Datenbank als Mitglieds-Repository aktiv und konfiguriert ist.

Bei diesem Szenario müssen Sie die folgenden Schritte ausführen:

  1. Bearbeiten Sie die Datei instancename.xml und setzen Sie die Option "MigrateUsersFromWCSdb" auf ON.
  2. Überprüfen Sie die Tabelle ORGENTITY und stellen Sie sicher, dass die Spalte DN die korrekten Werte für Organisationsentitäten enthält. Einträge für diese Organisationsentitäten werden von WebSphere Commerce auf dem LDAP-Server erstellt, und die Werte für die definierten Namen (DN) werden bei der Erstellung verwendet. Daher müssen Sie die DN-Werte dieser Organisationsentitäten im Voraus bestimmen und sicherstellen, dass sie in die Tabelle ORGENTITY aufgenommen werden.
  3. Erstellen Sie Suffixe, die auf dem LDAP-Server erforderlich sind. Die Einträge für die Benutzer- und Organisationsentitäten, die von WebSphere Commerce verwendet oder erstellt werden, befinden sich unter diesen Suffixen.
  4. Konfigurieren Sie die Datei ldapentry.xml, mit der Attribute von WebSphere Commerce zu LDAP-Attributen zugeordnet werden. Aktualisieren Sie außerdem die Spalte DN in der Tabelle USERS und die Spalte LOGONID in der Tabelle USERREG mit dem eindeutigen Namen (Distinguished Name, DN) des Eintrags wcsadmin auf dem LDAP-Server. Entfernen Sie unnötige Leerzeichen zwischen den Trennzeichen im DN-Wert. Wenn die Länge der Spalte LOGONID nicht für den gesamten Wert des eindeutigen Namens ausreicht, kürzen Sie den Wert entsprechend ab, damit er in die Spalte passt. Wenn Sie beispielsweise den auf dem LDAP-Server erstellten Eintrag wcsadmin mit einem DN-Wert von 'uid=wcsadmin,o=IBM,o=Root Organization,c=US' haben, würden Sie diesen DN-Wert sowohl in die Spalte DN als auch in die Spalte LOGONID stellen.
  5. Wenn sich ein Benutzer anmeldet, nachdem Sie auf die Verwendung des LDAP-Servers umgestellt haben, authentifiziert WebSphere Commerce den Benutzer mit Hilfe des LDAP-Servers. Da Sie von der Datenbank auf den LDAP-Server umgestellt haben (d. h., da die Option "MigrateUsersFromWCSdb" auf ON gesetzt ist), wird bei einem Fehlschlagen der Authentifizierung über den LDAP-Server ein zweiter Versuch unternommen, den Benutzer zu authentifizieren, und hierfür die Tabelle USERREG verwendet.

Nachdem Sie auf die Verwendung des LDAP-Servers umgestellt haben, werden Benutzer und Organisationsentitäten, die in der WebSphere Commerce-Datenbank vorhanden sind, automatisch auf den LDAP-Server migriert. Es müssen keine Einträge manuell von der WebSphere Commerce-Datenbank auf den LDAP-Server migriert werden. Dennoch gelten abhängig davon, wie die Benutzer sich anmelden sollen, verschiedene Einschränkungen. Außerdem sind neben den oben aufgelisteten vorbereitenden Schritten weitere Schritte für die Einrichtung erforderlich. Bei der Entscheidung, mit welchem Verfahren sich die Benutzer anmelden sollen, sollten Sie die im Folgenden aufgeführten drei Vorgehensweisen in Betracht ziehen. In der aktuellen Version von WebSphere Commerce können sich Benutzer mit ihren DN-Werten oder ihren RDN-Werten anmelden, wenn der LDAP-Server verwendet wird. Werden die RDN-Werte für die Anmeldung verwendet, werden Suchbasen eingesetzt, um den Benutzer zu suchen und die Authentifizierung durchzuführen, falls er gefunden wurde. Werden bei der Suche mehrere Benutzereinträge gefunden, wird ein Fehler generiert. Die Suchbasen werden in der Datei ldapentry.xml angegeben.

In der folgenden Beschreibung bezieht sich der Begriff "DB-Benutzer" auf Benutzer, die in der WebSphere Commerce-Datenbank vorhanden sind und die von WebSphere Commerce automatisch auf den Verzeichnisserver migriert werden, nachdem Sie auf die Verwendung des Verzeichnisservers umgestellt haben. Möglicherweise sind nur wenige DB-Benutzer vorhanden, wenn Sie schon kurz nachdem das WebSphere Commerce-Exemplar aktiv und konfiguriert ist, auf die Verwendung des Verzeichnisservers umstellen. Der Begriff "VS-Benutzer" bezieht sich auf Benutzer, die auf dem Verzeichnisserver von anderen Anwendungen als WebSphere Commerce erstellt wurden und die sich zukünftig bei WebSphere Commerce anmelden werden. Natürlich können sich auch Benutzereinträge von Benutzern, die sich nie an WebSphere Commerce anmelden, auf dem Verzeichnisserver befinden. Diese Benutzereinträge werden von WebSphere Commerce nicht erkannt.

Vorgehensweise A
DB-Benutzer sollen sich mit dem RDN-Wert (d. h., dem gleichen Wert wie ihre Anmelde-ID vor der Umstellung auf die Verwendung des Verzeichnisservers) anmelden. VS-Benutzer sollen sich mit dem DN-Wert anmelden.

Bei dieser Vorgehensweise können DB-Benutzer und VS-Benutzer die gleichen Werte für den RDN und die Anmelde-ID haben. So können beispielsweise ein DB-Benutzer mit der Anmelde-ID "Abe" und ein VS-Benutzer mit dem DN "uid=Abe,ou=DeptA,ou=DivB,o=CompanyC,c=CA" gleichzeitig vorhanden sein.

Sie müssen die Suchbasen in der Datei ldapentry.xml so einrichten, dass die VS-Benutzer außerhalb des Geltungsbereichs der Suchbasen liegen. Die Suchbasen werden verwendet, um nach Benutzern zu suchen, die sich über den RDN anmelden.

Der Vorteil von Vorgehensweise A ist, dass keine eindeutigen RDN-Werte erforderlich sind. Der Nachteil ist, dass einige Benutzer (die VS-Benutzer) sich unter Verwendung des DN anmelden müssen. Die DB-Benutzer können sich jedoch weiterhin unter Verwendung des RDN anmelden.

Vorgehensweise B
Alle Benutzer sollen sich unter Verwendung des RDN anmelden. Für DB-Benutzer bedeutet dies, dass sie sich weiterhin mit Ihrer Anmelde-ID anmelden. Für VS-Benutzer bedeutet dies, dass sie sich unter Verwendung ihres RDN-Werts anmelden.

Für diese Vorgehensweise ist erforderlich, dass alle Benutzer, die von WebSphere Commerce erkannt werden sollen, auf dem Verzeichnisserver über eindeutige RDN-Werte verfügen müssen.

Bevor Sie auf die Verwendung des Verzeichnisservers als Mitglieds-Repository umstellen, müssen Sie sicherstellen, dass Benutzer auf dem Verzeichnisserver, die von WebSphere Commerce erkannt werden sollen, über eindeutige RDN-Werte verfügen. Diese Eindeutigkeit muss sich sowohl auf die RDN-Werte als auch auf die Werte der Anmelde-IDs für die DB-Benutzer erstrecken. Ist beispielsweise ein Benutzer mit dem RDN-Wert "Abe" auf dem Verzeichnisserver vorhanden, darf kein anderer Benutzer mit dem gleichen RDN-Wert und auch kein DB-Benutzer mit der Anmelde-ID "Abe" vorhanden sein. Haben zwei Benutzer den gleichen Wert für den RDN oder die Anmelde-ID, muss einer dieser Werte geändert werden.

Sie müssen die Suchbasen in der Datei ldapentry.xml so einrichten, dass alle Benutzer, die sich über WebSphere Commerce anmelden, gefunden werden können.

Der Vorteil von Vorgehensweise B ist, dass Benutzer sich mit einer Zeichenfolge (d. h., einem RDN-Wert) anmelden können, die eine sehr einfache Syntax hat. Der Nachteil ist, dass die Verwaltung eindeutiger RDN-Werte problematisch sein kann, wenn die Anzahl der DB-Benutzer oder der VS-Benutzer sehr groß ist. Daher wird durch Anforderung, eindeutige RDN-Werte zu verwalten, möglicherweise die Skalierbarkeit beeinträchtigt. Die Anzahl der DB-Benutzer kann groß sein, wenn Sie erst auf die Verwendung des Verwaltungsservers umstellen, nachdem das WebSphere Commerce-Exemplar schon einige Zeit aktiv und konfiguriert ist. Die Anzahl der VS-Benutzer kann groß sein, wenn unabhängig davon, ob die Benutzer über WebSphere Commerce erstellt werden, viele Benutzer auf dem Verzeichnisserver erstellt werden.

Vorgehensweise C
Alle Benutzer sollen sich unter Verwendung des DN anmelden. Für DB-Benutzer bedeutet dies, dass sie von der Anmeldung mit der Anmelde-ID auf die Anmeldung unter Verwendung des DN umstellen müssen, nachdem Sie auf die Verwendung des Verzeichnisservers umgestellt haben.

Bei dieser Vorgehensweise können DB-Benutzer und VS-Benutzer die gleichen Werte für den RDN und die Anmelde-ID haben. So können beispielsweise ein DB-Benutzer mit der Anmelde-ID "Abe" und ein VS-Benutzer mit dem DN "uid=Abe,ou=DeptA,ou=DivB,o=CompanyC,c=CA" gleichzeitig vorhanden sein.

Sie müssen die DN-Werte für die DB-Benutzer bestimmen. Es wird angenommen, dass die RDN-Werte der DNs mit den Anmelde-IDs (den Werten für "LogonId") der DB-Benutzer in der Tabelle USERREG identisch sind.

Sie müssen den DB-Benutzern mitteilen, dass sie sich unter Verwendung des DN anmelden müssen, nachdem Sie auf die Verwendung des Verzeichnisservers umgestellt haben.

Der Vorteil von Vorgehensweise C ist, dass keine eindeutigen RDN-Werte erforderlich sind. Der Nachteil ist, dass die Benutzer sich unter Verwendung des DN anmelden müssen.

Verwandte Konzepte

Verwandte Aufgaben

Verwandte Referenzen

IBM Copyright