Bestimmte Verzeichnisserver als LDAP-Server verwenden

Wichtige Informationen zu den Verzeichnisservern, die als LDAP-Server (Lightweight Directory Access Protocol) in WebSphere® Application Server unterstützt werden, werden bereitgestellt.

Vorbereitungen

Microsoft Active Directory -Gesamtstrukturen werden mit der eigenständigen LDAP-Registry nicht unterstützt. Wenn die Registry für eingebundene Repositorys für die Verwendung von Active Directory-LDAP konfiguriert ist, wird die Verwendung von Gesamtstrukturen nicht unterstützt.

Informationen zu dieser Task

Es wird erwartet, dass andere LDAP-Server der LDAP-Spezifikation folgen. Die Unterstützung ist auf diese spezifischen Verzeichnisserver beschränkt. Wenn Sie einen anderen Verzeichnisserver verwenden möchten, wählen Sie in der Liste den Verzeichnistyp "Angepasst" aus, und geben Sie dann die Filter an, die für dieses Verzeichnis erforderlich sind.

Zur Verbesserung der Leistung bei LDAP-Suchen werden die Standardfilter für IBM® Tivoli® Directory Server, Sun ONE und Active Directory so definiert, dass bei der Suche nach Benutzern das Ergebnis alle relevanten Informationen zum Benutzer (Benutzer-ID, Gruppen usw.) enthält. Deshalb setzt das Produkt auch nicht mehrere Aufrufe an den LDAP-Server ab. Diese Definition ist nur in den Verzeichnistypen möglich, die Suchoperationen unterstützen, in denen vollständige Benutzerdaten abgerufen werden.

Wenn Sie IBM Directory Server verwenden, wählen Sie die Option Groß-/Kleinschreibung für Berechtigung ignorieren aus. Wenn Gruppeninformationen aus den Attributen für Benutzerobjekte entnommen werden, ist die Groß-/Kleinschreibung nämlich nicht dieselbe wie beim direkten Abrufen der Gruppeninformationen. Damit die Berechtigung in diesem Fall funktioniert, führen Sie eine Überprüfung ohne Berücksichtigung der Groß-/Kleinschreibung durch, und überprüfen Sie die Anforderungen für die Option Ignore case for authorization.

[z/OS]Der LDAP Security Server für die z/OS® -Plattform wird unterstützt, wenn das DB2® Technical Database Management (TDBM) -Back-End verwendet wird. Verwenden Sie die Filter von SecureWay Directory Server, um eine Verbindung zum LDAP-Sicherheitsserver für die z/OS -Plattform herzustellen.

  • [IBM i]Directory Services als LDAP-Server verwenden

    Die Unterstützung für Gruppen, die andere Gruppen oder verschachtelte Gruppen enthalten, hängt von den jeweiligen Versionen von WebSphere Application Server und LDAP ab. Weitere Informationen finden Sie unter Unterstützung für dynamische Gruppen und verschachtelte Gruppen für LDAP.

  • IBM Tivoli Directory Server als LDAP-Server verwenden

    [AIX Solaris HP-UX Linux Windows][IBM i] Wählen Sie zur Verwendung von IBM Tivoli Directory Server, früher IBM Directory Server, IBM aus. Tivoli Directory Server als Verzeichnistyp.

    [z/OS]Sie können den Verzeichnistyp IBM Tivoli Directory Server oder SecureWay für IBM Directory Server auswählen.

    Die beiden Verzeichnistypen unterscheiden sich in der Art, wie die Gruppenzugehörigkeit ermittelt wird. Es wird empfohlen, IBM Tivoli Directory Server auszuwählen, um eine optimale Leistung während der Laufzeit zu erzielen. In IBM Tivoli Directory Serverist die Gruppenzugehörigkeit ein aktives Attribut. Mit diesem Attribut wird die Gruppenzugehörigkeit durch Auflistung des Attributs "ibm-allGroups" für den Eintrag ermittelt. Es können alle Gruppenzugehörigkeiten, einschließlich der Zugehörigkeiten zu statischen, dynamischen und verschachtelten Gruppen, mit dem Attribut ibm-allGroups zurückgegeben werden.

    WebSphere Application Server unterstützt dynamische Gruppen, verschachtelte Gruppen und statische Gruppen in IBM Tivoli Directory Server unter Verwendung des Attributs ibm-allGroups . Zur Verwendung dieses Attributs in einer Anwendung für Sicherheitsberechtigungen müssen Sie einen Abgleich ohne Berücksichtigung der Groß-/Kleinschreibung durchführen, damit ibm-allGroups alle Werte in Großbuchstaben zurückgibt.

    Wichtig: Es wird empfohlen, IBM Tivoli Directory Server Version 6.0 nicht auf derselben Maschine zu installieren wie Version 9.0. Sie können Version 9.0 nicht als Administrationskonsole für IBM Tivoli Directory Serververwenden. Wenn IBM Tivoli Directory Server Version 6.0 und Version 9.0 auf derselben Maschine installiert sind, können Portkonflikte auftreten.

    Wenn Sie IBM Tivoli Directory Server Version 6.0 und Version 9.0 auf derselben Maschine installieren müssen, beachten Sie die folgenden Informationen:

    • Während des Installationsprozesses für IBM Tivoli Directory Server müssen Sie das Webverwaltungstool Version 5.1.1auswählen.
    • Installieren Sie Version 9.0.
    • Wenn Sie Version 9.0installieren, ändern Sie die Portnummer für den Anwendungsserver.
    • Möglicherweise müssen Sie die Umgebungsvariablen WebSphere Application Server in Version 9.0 für WAS_HOME und WAS_INSTALL_ROOT (bzw. APP_SERVER_ROOT für IBM i) anpassen. Klicken Sie zum Ändern der Variablen in der Administrationskonsole auf Umgebung > WebSphere Variablen.
  • Verwendung eines Lotus Domino Enterprise Server als LDAP-Server
    Wenn Sie Lotus Domino Enterprise Server Version 6.5.4 oder Version 7.0 auswählen und der Attributkurzname nicht im Schema definiert ist, können Sie eine der folgenden Aktionen ausführen:
    • Dem Schema das Attribut "Kurzname" hinzufügen.
    • Im Zuordnungsfilter für Benutzer-IDs den Kurznamen durch ein anderes definiertes Attribut (vorzugsweise die UID) ersetzen. Ändern Sie beispielsweise person:shortname in person:uid.

    Der Zuordnungsfilter userID wird so geändert, dass das Attribut "uid" anstelle des Attributs "shortname" verwendet wird, da die aktuelle Version von Lotus Domino das Attribut "shortname" nicht standardmäßig erstellt. Wenn Sie das Attribut "Kurzname" verwenden möchten, definieren Sie das Attribut im Schema und ändern Sie den Zuordnungsfilter für Benutzer-IDs.

    User ID Map :    person:shortname

  • Verwendung von Sun ONE Directory Server als LDAP-Server
    Sie können Sun ONE Directory Server als Verzeichnisserver auswählen. In Sun ONE Directory Server ist die Objektklasse für das Erstellen einer Gruppe standardmäßig groupOfUniqueName. Um die Leistung zu verbessern, verwendet WebSphere Application Server das User-Objekt, um die Mitgliedschaft in der Benutzergruppe anhand des nsRole zu ermitteln. Erstellen Sie die Gruppe aus der Rolle. Wenn Sie groupOfUniqueName zum Suchen von Gruppen verwenden möchten, geben Sie Ihre eigenen Filtereinstellungen an. Rollen vereinheitlichen Einträge. Rollen zeichnen sich durch eine effiziente und einfache Nutzung in Anwendungen aus. Eine Anwendung kann beispielsweise die Rolle eines Eintrags ermitteln, indem sie alle Rollen eines bestimmten Eintrags auflistet, anstatt eine Gruppe auszuwählen und die Member-Liste zu durchsuchen. Bei der Verwendung von Rollen können Sie eine Gruppe mit einer der folgenden Rollen erstellen:
    • verwaltete Rolle
    • gefilterte Rolle
    • verschachtelte Rolle
    Diese Rollen können alle mit dem Attribut "nsRole" verarbeitet werden.
  • Microsoft Active Directory als LDAP-Server verwenden

    Wenn Sie Microsoft Active Directory als LDAP-Server für die Authentifizierung bei WebSphere Application Server verwenden möchten, müssen Sie bestimmte Schritte ausführen. Standardmäßig lässt Microsoft Active Directory anonyme LDAP-Abfragen nicht zu. Zum Erstellen von LDAP-Abfragen oder zum Durchsuchen des Verzeichnisses, muss ein LDAP-Client über den definierten Namen (DN) eines Accounts, der berechtigt ist, die von Application Server benötigten Werte von LDAP-Attributen, wie z. B. Benutzer- und Gruppeninformationen, zu suchen und zu lesen, eine Bindung zum LDAP-Server herstellen. Gruppenzugehörigkeiten werden in Active Directory durch die Auflistung des Attributs memberof für einen bestimmten Benutzereintrag und nicht durch das Durchsuchen der Member-Liste in jeder Gruppe ermittelt. Wenn Sie dieses Standardverhalten ändern möchten, um jede Gruppe zu durchsuchen, können Sie den Wert des Feldes Zuordnung von Gruppenmember-IDs von memberof:member in group:member ändern.

Die folgenden Schritte beschreiben, wie Sie Microsoft Active Directory als LDAP-Server einrichten.

Vorgehensweise

  1. Ermitteln Sie den vollständigen definierten Namen und das Kennwort eines Accounts in der Administratorgruppe.
    [AIX Solaris HP-UX Linux Windows][IBM i]Wenn der Active Directory -Administrator beispielsweise ein Konto im Ordner "Users" der Windows-Systemsteuerung von Active Directory "Users and Computers" erstellt und die DNS-Domäne ibm.comlautet, Der resultierende DN hat die folgende Struktur:
    cn=<adminUsername>, cn=users, dc=ibm, 
dc=com
  2. Ermitteln Sie den Kurznamen und das Kennwort eines Kontos in der Microsoft- Active Directory.
  3. Verwenden Sie die Administrationskonsole von WebSphere Application Server , um die Informationen zu definieren, die für die Verwendung von Microsoft Active Directoryerforderlich sind.
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Wählen Sie unter "Repository für Benutzeraccounts" Eigenständige LDAP-Registry aus und klicken auf Konfigurieren.
    3. Konfigurieren Sie LDAP mit Active Directory als Typ des LDAP-Servers.
      Basierend auf den Informationen, die in den vorherigen Schritten bestimmt wurden, können Sie die folgenden Einstellungen in der Anzeige "LDAP-Einstellungen" angeben:
      Name des primären Benutzers mit Verwaltungsaufgaben
      Gibt den Namen eines Benutzers mit Verwaltungsberechtigungen an, der in der Registry definiert ist. Dieser Benutzername wird für den Zugriff auf die Administrationskonsole oder von wsadmin verwendet.
      Typ
      Geben Sie Active Directory an.
      Moderator
      Geben Sie den DNS-Namen (Domain Name Service) der Maschine an, auf der Microsoft Active Directoryausgeführt wird.
      Basis-DN
      Geben Sie die Domänenkomponenten des DN des Accounts an, den Sie im ersten Schritt ausgewählt haben. Beispiel: dc=ibm, dc=com
      Definierter Name für Bindung
      Geben Sie den vollständig definierten Namen des Accounts an, den Sie im ersten Schritt ausgewählt haben. Beispiel: cn=adminUsername, cn=users, dc=ibm, dc=com
      Kennwort für Bindung
      Geben Sie das Kennwort des Accounts an, den Sie im ersten Schritt ausgewählt haben.
    4. Klicken Sie auf OK und Speichern , um die Änderungen in der Masterkonfiguration zu speichern.
  4. Klicken Sie auf Sicherheit > Globale Sicherheit.
  5. Klicken Sie unter 'Repository für Benutzeraccounts' auf die Dropdown-Liste Verfügbare Realm-Definitionen , wählen Sie Eigenständige LDAP-Registryaus und klicken Sie auf Konfigurieren.
  6. Wählen Sie entweder die Option Automatisch generierte Serveridentität oder die Option Im Repository gespeicherte Serveridentität aus.
    Wenn Sie die Option Im Repository gespeicherte Server-ID auswählen, geben Sie die folgenden Informationen ein:
    Serverbenutzer-ID oder Benutzer mit Verwaltungsaufgaben auf einem Knoten der Version 6.0.x
    Geben Sie den Kurznamen des Accounts an, den Sie im zweiten Schritt ausgewählt haben.
    Benutzerkennwort des Servers
    Geben Sie das Kennwort des Accounts an, den Sie im zweiten Schritt ausgewählt haben.
  7. Optional: Definieren Sie ObjectCategory als Filter im Zuordnungsfeld für Gruppenmitglieds-IDs, um die LDAP-Leistung zu verbessern.
    1. Klicken Sie unter "Weitere Eigenschaften" auf Erweiterte Einstellungen für LDAP-Benutzerregistry .
    2. Fügen Sie ;objectCategory:group am Ende des Zuordnungsfelds für Gruppenmitglieds-IDs hinzu.
  8. Klicken Sie auf OK und Speichern , um die Änderungen in der Masterkonfiguration zu speichern.
  9. Stoppen Sie den Administrationsserver, und starten Sie ihn anschließend erneut, damit die Änderungen wirksam werden.