为实现安全性角色映射而集成 WebSphere Telecom Web Services Server 与 Tivoli Directory Server

IBM Websphere Telecom Web Services Server (TWSS) 为访问和管理安全性服务等任务使用安全性角色映射。为了更好地进行管理,这些安全性角色可以映射到用户/组的安全性身份,这些身份可能存储在 LDAP 中,用于身份验证和授权。本文将描述用户/组的安全性角色映射、如何集成 TWSS 与 IBM Tivoli Directory Server,还将介绍一款生成 TWSS 用户/组 LDIF 文件的工具。

Pralhad D Galagali, 高级软件工程师, IBM Global Business Services, IBM

Pralhad Galagali 是位于班加罗尔的 IBM India Software Lab 的 IBM Global Business Services 团队的一名高级软件工程师。Pralhad 在信息技术领域拥有 11 年的工作经验,曾经担任过 Tivoli Directory、Tivoli Directory Integrator 和 WebSphere Telecom Web Services Server 等 IBM 产品的开发人员、开发主管、测试工程师和支持工程师。



Dhandapani Shanmugam, 解决方案架构师, Industry Solutions Communications Sector 团队, IBM

Dhandapani Shanmugam 是位于班加罗尔的 IBM India Software Labs 的 Industry Solutions Communications Sector 的一名解决方案架构师。他拥有十年的 IT 经验,曾经参与过许多 IBM 电信产品的工作,包括 WebSphere Software for Telecom、WebSphere Everyplace Server for Telecom、WebSphere Everyplace Access 和 WebSphere Everyplace Mobile Portal。他拥有移动计算、电信、应用服务器和 XML 领域的多项专利。他参与创作了有关 WebSphere Telecom Web Services Server 的一本 IBM Redbook,并且撰写了多篇有关移动解决方案的 developerWorks 文章。Dhandapani 拥有哥伦拜托市 Bhartiyar 大学电子与通信工程系的工程学士学位,以及彼拉尼博拉理工学院软件系统的科学硕士学位。



2012 年 7 月 16 日

安全性角色和映射是什么?

安全性角色是一种特定于应用程序的逻辑用户分组,按照配置文件和作业责任等常见的特征分类。部署应用程序时,角色会映射到安全性身份,例如用户或者组,然后以此作为依据,将具有相关访问权限的某个安全性角色的用户映射到应用程序。应用程序部署人员负责在部署时映射安全性角色和安全性身份,确保为正确的用户/组授予适当应用程序的访问权限。

IBM® WebSphere® Application Server 包含将用户映射到角色的基本工具,它允许您插入第三方系统,管理用户身份验证和授权。

Websphere Telecom Web Services Server 安全性角色映射

WebSphere TWSS 提供了一种基于策略的机制,授予用户对服务接口的访问权限,这限制了基于 J2EE 角色的安全性对于各服务的价值。然而,对于复合服务而言,由于在一个复合应用程序中使用了多种服务接口,因此安全性角色将更加有用,它们能确保用户在经过授权的情况下访问恰当的底层服务片段。安全性角色对于复合服务接口尤为有用,因为其中不同的操作可以访问不同的后端 Web 服务。

使用 LDAP 进行安全性角色映射

TWSS 需要将安全性角色映射到用户/组,以便管理不同的任务。LDAP 提供了应用程序协议,支持通过 Internet 访问和维护用户/组目录信息服务。本文将介绍如何为安全性角色映射集成 WebSphere TWSS 与 IBM Tivoli® Directory Server (TDS)。本文中的步骤同样适用于 LDAP V3 实现。本文还介绍了一个基于 Java® 的样例工具,用于生成具有不同 TWSS 用户/组的 LDAP 数据互换格式 (LDIF) 文件。可以使用所生成的 LDIF 文件,将用户/组实体导入 LDAP。样例工具仅用于生成少数条目,测试样例设置,不宜用作大容量生产用途中的一般 LDIF 生成工具。

Websphere Telecom Web Services Server 用户组和安全性角色

在部署过程中可以将安全性角色映射到用户或者组。角色最初映射到用户组,即使特定用户发生了变化,也无需更改角色映射。应该在完成运行配置过程之前对这些用户组进行定义。随后可以更改组,添加或者删除用户,而不必更改初始配置。

每个服务实现都应在部署时为其接口定义一个或多个角色。例如:

  • TWSSAdministrator – 所有 TWSS Web 服务使用的 TWSS 管理控制台角色
  • AdmissionControlAdmin – 准入控制 (Admission Control) 服务的管理角色
  • FaultAlarmAdmin – FaultAlarm 服务管理角色
  • NetworkResourcesAdmin - 准入控制服务管理角色
  • SMSSMPPAdmin – 准入控制服务管理角色
  • PXNotifyAdmin – Px 通知服务管理角色
  • UsageRecordAccess – 使用记录服务的访问角色

下表展示了 TWSS 中定义的部分一般组及其角色映射:

表 1. 组名称和角色映射
组名称角色映射描述
PolicyAdminGroupPolicyAdministrator策略管理员
All authenticated usersPolicyAccessor访问策略值的任何用户
All authenticated users其他所有 Web 服务接口角色Web 服务客户端
NotifyAdminGroupNotifyManagementAdministrationRole通知管理员
TWSSAdminGroupTWSS Administration Console Administrator、Parlay Administrator、WEST administratorTWSS 管理控制台或者 Parlay 管理控制台管理员

使用 Tivoli Directory Server 配置安全性角色映射

这一节将介绍如何为 TWSS 配置安全性角色映射,如何使用 TDS 作为存储用户/组的目录实体。这些步骤假设 TDS 是 LDAP 目录服务器。

为 Tivoli Directory Server 系统准备必要的用户/组

第一步是为 TDS 系统准备必要的用户/组。GENTWSSLdif 实用工具可以帮助您创建必要的用户/组。

  1. 解压缩 GENTWSSLdif.zip 文件。
  2. 在解压得到的文件夹中,执行命令 java –jar GENTWSSLdif.jar。确保将 JAVA_HOME 设置为系统中安装的正确 Java 版本。
  3. GENTWSSLdif 实用工具的 GUI 显示如下:
    图 1. LDIF 实用工具
    LDIF 实用工具
    • Base Suffix:您创建的基本识别名称。可以是新名称,也可以是现有名称。
    • User Data File LocationGENTWSSLdif\Data\ 文件夹。数据文件夹包含三个 XML 文件:
      • Users.xml:这个文件包含各 LDAP 用户的条目。用户数据文件位置应指向这个 users.xml 文件。要添加的每个用户都列在用户定义标记 <userdef> 中。
      • Classdef.xml:一个用户可以与多个属性相关联,例如 uid、mobile 和 employeenumber。属性的添加和删除取决于与各 LDAP 元素相关联的 objectclass。这些类定义是从 classdef.xml 文件中读取的。
      • ousandgroups.xml:这个文件包含 organizationUnits 和组定义的条目。

      运行实用工具之前,请编辑上述三个 XML 文件,添加必要的类、组织单一、组和用户。实用工具将读取这些 XML 文件,并创建 LDIF 文件条目。

    • Output LDIF file location:所得到的 LDIF 文件的位置。默认情况下,LDIF 文件的名称是 TWSS.ldif,位于目录 GENTWSSLdif\Ldif\ 中。

将 LDIF 文件导入 Tivoli Directory Server

成功运行 GENTWSSLdif 实用工具之后,即可生成一个 LDIF 文件。如果使用默认选项,那么该文件的名称应该是 TWSS.ldif,存储位置是 GENTWSSLdif\Ldif\

  1. 将 LDIF 文件 (TWSS.ldif) 复制到安装 TDS 服务器的机器。
  2. 启动 TDS 配置工具,在 LDIF Tasks 选项卡下选择 Import LDIF data
    图 2. 导入 LDIF 文件
    导入 LDIF 文件
  3. 浏览找到 TWSS.ldif 文件并单击 Import。此时应填充 TWSS LDIF 数据。
  4. 检查任务消息,确保无错误。
  5. 启动 TDS 实例管理工具:
    图 3. 启动 TDS
    启动 TDS
  6. 单击 Start/Stop 启动 TDS。

将 Tivoli Directory Server 添加到 WebSphere Application Server 应用程序基础架构

  1. 登录 WebSphere Application Server 管理控制台,导航到 Security => Secure administration, applications, and infrastructure
    图 4. WebSphere Application Server 1 中的 TDS 配置
    WebSphere Application Server 1 中的 TDS 配置
  2. 选择 Standalone LDAP registry 作为可用领域定义,并单击 configure 按钮。
    图 5. WebSphere Application Server 2 中的 TDS 配置
    WebSphere Application Server 2 中的 TDS 配置
  3. 在上图所示的 Configuration 页面中提供以下属性值:
    • Primary administrative user name:在 LDIF 文件生成过程中创建的一个用户的识别名称。例如:cn=John,ou=TWSS,o=ibm
    • Server user identity:选择 Automatically generated server identity
    • Type of LDAP server:选择 IBM Tivoli Directory Server
    • Host and port:提供恰当的主机和端口值。
    • Base distinguished name:提供 LDIF 文件生成过程中提到的组织属性或基本后缀的值。例如:o=ibm
    • Bind distinguished name and Bind password:提供 LDAP 管理员用户名称和密码,将此作为 Bind 识别名称和 Bind 密码的值。例如:cn=root, **** (**** = Password corresponding to cn=root)。
  4. 单击 OK 并保存更改。
  5. Secure administration, applications, and infrastructure 页面中选中 Enable administrative security

为用户/组映射配置应用程序级安全性角色

  1. 登录 WebSphere Application Server 管理控制台,导航到 Applications => Enterprise Applications => <Application> => Security role to user/group mapping
    图 6. 安全性角色用户/组
    安全性角色用户/组
  2. 选择需要映射到 LDAP 用户/组的恰当角色。
  3. 单击 Look up users for user mapping 或者 Look up groups for group mapping
  4. 角色和用户映射:单击 Search 列出 LDAP 注册库中的现有用户。选择恰当的用户,并相应地映射角色:
    图 7. 安全性角色配置 1
    安全性角色配置 1
  5. 角色和组映射:单击 Search 列出 LDAP 注册库中的现有组。选择恰当的组,并相应地映射角色:
    图 8. 安全性角色配置 2
    安全性角色配置 2
  6. 单击 OK,随后选择 Save 保存更改。

完成上述步骤之后,请重新启动服务器,使您对安全性配置做出的更改生效。由于安全性角色映射到组,因此现在您可以在 TDS 内使用其客户端工具更新用户、向组添加新用户或者从组中删除用户。


下载

描述名字大小
代码样例GENTWSSLdif.zip17 KB

参考资料

学习

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=WebSphere, SOA and web services
ArticleID=825999
ArticleTitle=为实现安全性角色映射而集成 WebSphere Telecom Web Services Server 与 Tivoli Directory Server
publish-date=07162012