Unterstützung dynamischer und verschachtelter Gruppen für LDAP

Dynamische und verschachtelte Gruppen vereinfachen WebSphere® Application Server Sicherheitsmanagement und erhöhen dessen Effektivität und Flexibilität.

Dynamische Gruppen enthalten die Kriterien Gruppenname und Zugehörigkeit:

Die Information zur Gruppenzugehörigkeit hat denselben Aktualitätsstand wie die Information zum Benutzerobjekt.
Es ist nicht erforderlich, die Mitglieder des Gruppenobjekts manuell zu verwalten.
Dynamische Gruppen sind so definiert, dass eine Anwendung keine große Menge an Informationen aus dem Verzeichnis abrufen muss, um festzustellen, ob ein Benutzer Mitglied einer Gruppe ist.

Mit Hilfe von verschachtelten Gruppen können hierarchische Beziehungen aufgebaut werden, mit denen übernommene Gruppenzugehörigkeiten festgelegt werden. Eine verschachtelte Gruppe ist als untergeordneter Gruppeneintrag definiert, dessen definierter Name (Distinguished Name, DN) durch das Attribut eines übergeordneten Gruppeneintrags angegeben wird.

Sie müssen nur dann eine größere übergeordnete Gruppe zuordnen, wenn alle verschachtelten Gruppen dieselben Zugriffsrechte haben. Indem einer einzelnen übergeordneten Gruppe eine Rolle zugeordnet wird, wird die Laufzeitberechtigungstabelle vereinfacht.

Dynamische Gruppen und verschachtelte Gruppenunterstützung für die IBM Tivoli Directory Server

WebSphere Application Server unterstützt alle Lightweight Directory Access Protocol (LDAP) dynamischen und verschachtelten Gruppen bei der Verwendung IBM® Tivoli® Directory Server. Diese Funktion ist standardmäßig aktiviert, indem eine Funktion in IBM Tivoli Directory Server. IBM Tivoli Directory Server verwendet die ibm-allGroups Vorwärtsreferenz-Gruppenattribut, das automatisch alle Gruppenmitgliedschaften einschließlich dynamischer und rekursiver Mitgliedschaften für einen Benutzer berechnet. Die Sicherheitseinrichtung lokalisiert die Gruppenzugehörigkeit eines Benutzers direkt über ein Benutzerobjekt und durchsucht nicht indirekt alle Gruppen nach übereinstimmenden Gruppenmembern.

Weitere Informationen finden Sie unter Konfigurieren der dynamischen und verschachtelten Gruppenunterstützung für die IBM Tivoli Directory Server.

[IBM i] Stellen Sie beim Erstellen von Gruppen sicher, dass die Zugehörigkeiten für verschachtelte und dynamische Gruppen ordnungsgemäß funktionieren.

Unterstützung für dynamische und verschachtelte Gruppen für den SunONE oder iPlanet Directory Server

Der SunONE oder iPlanet Directory Server verwendet zwei Methoden der Gruppierung:

Gruppen: Einträge, die andere Einträge in Form einer Liste von Membern oder als Filter für Member benennen.
Rollen: Einträge, die andere Einträge in Form einer Liste von Membern oder als Filter für Member benennen. Außerdem wird die Funktionalität erweitert, indem für jedes Member einer Rolle das Attribut nsrole generiert wird.

Es sind drei Arten von Rollen verfügbar:

Gefilterte Rollen: Richtet sich nach den Attributen, die in den einzelnen Einträgen enthalten sind. Die Einträge sind dann Member, wenn sie mit einem angegebenen LDAP-Filter übereinstimmen. Diese Rolle entspricht einer dynamischen Gruppe.
Verschachtelte Rollen: Erstellt Rollen, die andere Rollen enthalten. Diese Rolle entspricht einer verschachtelten Gruppe.
Verwaltete Rollen: Den Member-Einträgen wird explizit eine Rolle zugeordnet. Diese Rolle entspricht einer statischen Gruppe.

Beziehen auf Konfigurieren der dynamischen und verschachtelten Gruppenunterstützung für die SunONE oder iPlanet Verzeichnisserver für mehr Informationen.