![关闭 [x]](http://dw1.s81c.com/i/c.gif){kind=small}
安全性角色是一种特定于应用程序的逻辑用户分组,按照配置文件和作业责任等常见的特征分类。部署应用程序时,角色会映射到安全性身份,例如用户或者组,然后以此作为依据,将具有相关访问权限的某个安全性角色的用户映射到应用程序。应用程序部署人员负责在部署时映射安全性角色和安全性身份,确保为正确的用户/组授予适当应用程序的访问权限。
IBM® WebSphere® Application Server 包含将用户映射到角色的基本工具,它允许您插入第三方系统,管理用户身份验证和授权。
Websphere Telecom Web Services Server 安全性角色映射
WebSphere TWSS 提供了一种基于策略的机制,授予用户对服务接口的访问权限,这限制了基于 J2EE 角色的安全性对于各服务的价值。然而,对于复合服务而言,由于在一个复合应用程序中使用了多种服务接口,因此安全性角色将更加有用,它们能确保用户在经过授权的情况下访问恰当的底层服务片段。安全性角色对于复合服务接口尤为有用,因为其中不同的操作可以访问不同的后端 Web 服务。
TWSS 需要将安全性角色映射到用户/组,以便管理不同的任务。LDAP 提供了应用程序协议,支持通过 Internet 访问和维护用户/组目录信息服务。本文将介绍如何为安全性角色映射集成 WebSphere TWSS 与 IBM Tivoli® Directory Server (TDS)。本文中的步骤同样适用于 LDAP V3 实现。本文还介绍了一个基于 Java® 的样例工具,用于生成具有不同 TWSS 用户/组的 LDAP 数据互换格式 (LDIF) 文件。可以使用所生成的 LDIF 文件,将用户/组实体导入 LDAP。样例工具仅用于生成少数条目,测试样例设置,不宜用作大容量生产用途中的一般 LDIF 生成工具。
Websphere Telecom Web Services Server 用户组和安全性角色
在部署过程中可以将安全性角色映射到用户或者组。角色最初映射到用户组,即使特定用户发生了变化,也无需更改角色映射。应该在完成运行配置过程之前对这些用户组进行定义。随后可以更改组,添加或者删除用户,而不必更改初始配置。
每个服务实现都应在部署时为其接口定义一个或多个角色。例如:
- TWSSAdministrator – 所有 TWSS Web 服务使用的 TWSS 管理控制台角色
- AdmissionControlAdmin – 准入控制 (Admission Control) 服务的管理角色
- FaultAlarmAdmin – FaultAlarm 服务管理角色
- NetworkResourcesAdmin - 准入控制服务管理角色
- SMSSMPPAdmin – 准入控制服务管理角色
- PXNotifyAdmin – Px 通知服务管理角色
- UsageRecordAccess – 使用记录服务的访问角色
下表展示了 TWSS 中定义的部分一般组及其角色映射:
| 表 1. 组名称和角色映射 | ||
|---|---|---|
| 组名称 | 角色映射 | 描述 |
| PolicyAdminGroup | PolicyAdministrator | 策略管理员 |
| All authenticated users | PolicyAccessor | 访问策略值的任何用户 |
| All authenticated users | 其他所有 Web 服务接口角色 | Web 服务客户端 |
| NotifyAdminGroup | NotifyManagementAdministrationRole | 通知管理员 |
| TWSSAdminGroup | TWSS Administration Console Administrator、Parlay Administrator、WEST administrator | TWSS 管理控制台或者 Parlay 管理控制台管理员 |
使用 Tivoli Directory Server 配置安全性角色映射
这一节将介绍如何为 TWSS 配置安全性角色映射,如何使用 TDS 作为存储用户/组的目录实体。这些步骤假设 TDS 是 LDAP 目录服务器。
为 Tivoli Directory Server 系统准备必要的用户/组
第一步是为 TDS 系统准备必要的用户/组。GENTWSSLdif 实用工具可以帮助您创建必要的用户/组。
- 解压缩
GENTWSSLdif.zip文件。 - 在解压得到的文件夹中,执行命令
java –jar GENTWSSLdif.jar。确保将JAVA_HOME设置为系统中安装的正确 Java 版本。 GENTWSSLdif实用工具的 GUI 显示如下:
图 1. LDIF 实用工具
- Base Suffix:您创建的基本识别名称。可以是新名称,也可以是现有名称。
- User Data File Location:
GENTWSSLdif\Data\文件夹。数据文件夹包含三个 XML 文件:Users.xml:这个文件包含各 LDAP 用户的条目。用户数据文件位置应指向这个users.xml文件。要添加的每个用户都列在用户定义标记<userdef>中。Classdef.xml:一个用户可以与多个属性相关联,例如 uid、mobile 和 employeenumber。属性的添加和删除取决于与各 LDAP 元素相关联的 objectclass。这些类定义是从classdef.xml文件中读取的。ousandgroups.xml:这个文件包含 organizationUnits 和组定义的条目。
运行实用工具之前,请编辑上述三个 XML 文件,添加必要的类、组织单一、组和用户。实用工具将读取这些 XML 文件,并创建 LDIF 文件条目。
- Output LDIF file location:所得到的 LDIF 文件的位置。默认情况下,LDIF 文件的名称是
TWSS.ldif,位于目录GENTWSSLdif\Ldif\中。
将 LDIF 文件导入 Tivoli Directory Server
成功运行 GENTWSSLdif 实用工具之后,即可生成一个 LDIF 文件。如果使用默认选项,那么该文件的名称应该是 TWSS.ldif,存储位置是 GENTWSSLdif\Ldif\。
- 将 LDIF 文件 (
TWSS.ldif) 复制到安装 TDS 服务器的机器。 - 启动 TDS 配置工具,在 LDIF Tasks 选项卡下选择 Import LDIF data:
图 2. 导入 LDIF 文件
- 浏览找到
TWSS.ldif文件并单击 Import。此时应填充 TWSS LDIF 数据。 - 检查任务消息,确保无错误。
- 启动 TDS 实例管理工具:
图 3. 启动 TDS
- 单击 Start/Stop 启动 TDS。
将 Tivoli Directory Server 添加到 WebSphere Application Server 应用程序基础架构
- 登录 WebSphere Application Server 管理控制台,导航到 Security => Secure administration, applications, and infrastructure:
图 4. WebSphere Application Server 1 中的 TDS 配置
- 选择 Standalone LDAP registry 作为可用领域定义,并单击 configure 按钮。
图 5. WebSphere Application Server 2 中的 TDS 配置
- 在上图所示的 Configuration 页面中提供以下属性值:
- Primary administrative user name:在 LDIF 文件生成过程中创建的一个用户的识别名称。例如:
cn=John,ou=TWSS,o=ibm。 - Server user identity:选择 Automatically generated server identity。
- Type of LDAP server:选择 IBM Tivoli Directory Server。
- Host and port:提供恰当的主机和端口值。
- Base distinguished name:提供 LDIF 文件生成过程中提到的组织属性或基本后缀的值。例如:
o=ibm。 - Bind distinguished name and Bind password:提供 LDAP 管理员用户名称和密码,将此作为 Bind 识别名称和 Bind 密码的值。例如:
cn=root, ****(**** = Password corresponding to cn=root)。
- Primary administrative user name:在 LDIF 文件生成过程中创建的一个用户的识别名称。例如:
- 单击 OK 并保存更改。
- 在 Secure administration, applications, and infrastructure 页面中选中 Enable administrative security。
- 登录 WebSphere Application Server 管理控制台,导航到 Applications => Enterprise Applications => <Application> => Security role to user/group mapping:
图 6. 安全性角色用户/组
- 选择需要映射到 LDAP 用户/组的恰当角色。
- 单击 Look up users for user mapping 或者 Look up groups for group mapping。
- 角色和用户映射:单击 Search 列出 LDAP 注册库中的现有用户。选择恰当的用户,并相应地映射角色:
图 7. 安全性角色配置 1
- 角色和组映射:单击 Search 列出 LDAP 注册库中的现有组。选择恰当的组,并相应地映射角色:
图 8. 安全性角色配置 2
- 单击 OK,随后选择 Save 保存更改。
完成上述步骤之后,请重新启动服务器,使您对安全性配置做出的更改生效。由于安全性角色映射到组,因此现在您可以在 TDS 内使用其客户端工具更新用户、向组添加新用户或者从组中删除用户。
| 描述 | 名字 | 大小 | 下载方法 |
|---|---|---|---|
| 代码样例 | GENTWSSLdif.zip | 17 KB | HTTP |
学习
- WebSphere Software for Telecom 资源
- WebSphere Software for Telecom 信息中心
包含所有 WebSphere Software for Telecom 文档的单一 Web 门户。这种产品扩展了 WebSphere Application Server 平台,旨在交付完全符合 IP 多媒体子系统 (IMS) 标准的应用服务器,并使您能够开发和部署符合 IMS 的应用程序。 - WebSphere Telecom Web Services Server (TWSS) 信息中心
包含所有 WebSphere TWSS 文档的单一 Web 门户。 - 规划 WebSphere TWSS 中的安全性
如何在 WebSphere TWSS 中设置安全性,TWSS 使用标准 WebSphere Application Server ND 授权机制、Trust Association Interceptor 和基于策略的 Service Policy Manager。
- WebSphere Software for Telecom 信息中心
- IBM Tivoli Directory Server 资源
- IBM Tivoli Directory Server 信息中心
提供所有 IBM Tivoli Directory Server 产品文档的单一 Web 门户。
- IBM Tivoli Directory Server 信息中心
- WebSphere 参考资料
- developerWorks WebSphere 开发人员参考资料
面向使用 WebSphere 产品的开发人员的技术信息和参考资料。developerWorks WebSphere 提供了产品下载、how-to 信息、支持自由和免费的技术资源库,其中包括超过 2000 篇技术文章、教程、最佳实践、IBM Redbook 和在线产品手册。 - developerWorks WebSphere 应用程序集成开发人员参考资料
How-to 文章、下载、教程、培训、产品信息和其他参考资料,帮助您搭建 WebSphere 应用程序集成和业务集成解决方案。 - developerWorks WebSphere 业务流程管理开发人员参考资料
WebSphere BPM How-to 文章、下载、教程、培训、产品信息和其他参考资料,帮助您建模、组合、部署和管理业务流程。 - 最受欢迎的 WebSphere 试用版下载
重要 WebSphere 产品的免费试用版下载。 - WebSphere 论坛
特定于产品的论坛,使您能够获得技术问题的答案,并与其他 WebSphere 用户分享您的专业经验。 - WebSphere 演示
下载并观看这些自运行的演示,并了解 WebSphere 产品和技术如何帮助您的企业响应迅速变化和日益复杂的业务环境。 - developerWorks WebSphere 每周时事通讯
developerWorks 实事通讯为您提供您感兴趣的主题的最新文章和信息。除了 WebSphere 之外,您还可以选择 Java、Linux、开放源码、Rational、SOA、Web 服务和其他主题。立即订阅并设计您的定制邮件。 - 来自 IBM Press 的 WebSphere 相关图书
通过 Barnes & Noble 实现便捷的在线订购。 - WebSphere 相关事件
WebSphere 开发人员感兴趣的全球会议、贸易展览、网络广播和其他活动。
- developerWorks WebSphere 开发人员参考资料
- developerWorks 资源
- IBM 软件产品的试用版下载
免费下载精选的 IBM® DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere® 产品的试用版。 - developerWorks 博客
加入 developerWorks 用户和作者、IBM 编辑和开发人员的谈话。 - developerWorks 云计算资源
访问 IBM 或 Amazon EC2 云,在沙盒中测试 IBM 云计算产品,观看云计算产品和服务的演示,阅读有关云计算的文章并访问其他云资源。 - developerWorks 技术加油站
IBM 专家的免费技术讲座会议可以帮助您加快学习速度,帮助您在最困难的软件项目中获得成功。会议包括时长 1 小时的网络广播,以及在世界各个城市举办的半天和全天的实时会议。 - developerWorks 播客
收听针对软件创新者的有趣访谈和讨论。 - IBM Education Assistant
一个多媒体培训模块集合,帮助您更好地了解 IBM 软件产品,更有效地使用它们满足您的业务需求。
- IBM 软件产品的试用版下载
讨论
- 加入 developerWorks 中文社区,developerWorks 社区是一个面向全球 IT 专业人员,可以提供博客、书签、wiki、群组、联系、共享和协作等社区功能的专业社交网络社区。
- 加入 IBM 软件下载与技术交流群组,参与在线交流。
Pralhad Galagali 是位于班加罗尔的 IBM India Software Lab 的 IBM Global Business Services 团队的一名高级软件工程师。Pralhad 在信息技术领域拥有 11 年的工作经验,曾经担任过 Tivoli Directory、Tivoli Directory Integrator 和 WebSphere Telecom Web Services Server 等 IBM 产品的开发人员、开发主管、测试工程师和支持工程师。
Dhandapani Shanmugam 是位于班加罗尔的 IBM India Software Labs 的 Industry Solutions Communications Sector 的一名解决方案架构师。他拥有十年的 IT 经验,曾经参与过许多 IBM 电信产品的工作,包括 WebSphere Software for Telecom、WebSphere Everyplace Server for Telecom、WebSphere Everyplace Access 和 WebSphere Everyplace Mobile Portal。他拥有移动计算、电信、应用服务器和 XML 领域的多项专利。他参与创作了有关 WebSphere Telecom Web Services Server 的一本 IBM Redbook,并且撰写了多篇有关移动解决方案的 developerWorks 文章。Dhandapani 拥有哥伦拜托市 Bhartiyar 大学电子与通信工程系的工程学士学位,以及彼拉尼博拉理工学院软件系统的科学硕士学位。
