LDAP-Parameter für Microsoft Active Directory festlegen

Definieren Sie Konfigurationsparameter für Microsoft Active Directory , um zusätzliche Sicherheitsoptionen für Ihre Umgebung bereitzustellen.

Vorbereitungen

Führen Sie vor dem Festlegen der Konfigurationsparameter Authentifizierungstests durch, um das ordnungsgemäße Funktionieren von Suchfiltern für Benutzer, Gruppen und Zugehörigkeit zu bestätigen. Weitere Informationen finden Sie im Abschnitt Zugehörige Tasks.

Zum Ausführen dieser Schritte müssen Sie die Rolle "Sicherheitsverwaltung" mit der Berechtigung "Sicherheit verwalten (vollständige Berechtigung)" haben.

Informationen zu diesem Vorgang

Möglicherweise müssen Sie die Beispielsuchparameter in den folgenden Schritten an Ihr LDAP-Serverschema anpassen.

Zum Ausführen dieser Aufgabe können Sie die Konsole, die Befehlszeilenschnittstelle oder die REST-API verwenden. Informationen zur Befehlszeile und zur REST-API finden Sie unter Zugehörige Informationen.

Vorgehensweise

  1. Klicken Sie auf System > Systemsicherheit. Wenn Sie 2.3.3.3 oder höher verwenden, navigieren Sie zu Sicherheit und Zugriff > Systemsicherheit.
  2. Erweitern Sie den Abschnitt LDAP-Einstellungen und legen Sie die folgenden Konfigurationsparameter fest.
    LDAP-Anbieter-URL
    Hostname, Portnummer und das Protokoll LDAP oder LDAPS des LDAP-Servers. Der Hostname muss der vollständig qualifizierte Domänenname oder die IP-Adresse Ihres LDAP-Servers sein. Er muss mit ldap:// beginnen (für Standard-LDAP) oder mit ldaps:// (wenn die Verbindung zum LDAP-Server über einen SSL-Tunnel hergestellt wird).

    Das Protokoll LDAPS wird zum Schutz sensibler Benutzerberechtigungsnachweise empfohlen. Wenn Sie LDAPS auswählen, müssen Sie das X.509-Zertifikat des LDAP-Servers überprüfen und akzeptieren.

    LDAP-Sicherheitsauthentifizierung
    Der definierte Name (DN) eines externen (LDAP-)Benutzers, der das LDAP-Verzeichnis durchsuchen darf, wenn der LDAP-Server keinen anonymen Zugriff zulässt.
    Passwort
    Das Kennwort des Benutzers für die LDAP-Sicherheitsauthentifizierung.
    LDAP-Basis-DN (Benutzer)
    Die Basis-DN-Unterverzeichnisstruktur, die verwendet wird, wenn der LDAP-Server nach Benutzereinträgen durchsucht wird. Verwenden Sie die LDIF-Syntax (LDAP Data Interchange Format) für die Einträge.
    LDAP-Basis-DN (Gruppen)
    Die Basis-DN-Unterverzeichnisstruktur, die verwendet wird, wenn der LDAP-Server nach Gruppeneinträgen durchsucht wird.
    Suchfilter (Benutzer)
    Anmerkung: Bestätigen Sie, dass der Benutzersuchfilter wirksam ist, indem Sie einen LDAP-Authentifizierungstest durchführen. Weitere Informationen erhalten Sie, wenn Sie im Abschnitt Zugehörige Tasks auf LDAP-Authentifizierungseinstellungen testen klicken.
    Sie können den Filter verwenden, um in der LDAP-Basis-DN-Unterverzeichnisstruktur (Benutzer) Einträge zu finden, die mit dem Benutzernamen übereinstimmen. Sehen Sie sich dazu beispielsweise den folgenden Eintrag an:
    dn: CN=testuser,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: testuser
givenName: testuser
distinguishedName: CN=testuser,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
instanceType: 4
whenCreated: 20121016115033.0Z
whenChanged: 20121128154238.0Z
displayName: testuser
uSNCreated: 12880
uSNChanged: 30679
name: testuser
objectGUID:: FHdAtR/CQEyxvINHhsGnLw==
userAccountControl: 2687488
badPwdCount: 1
codePage: 0
countryCode: 0
badPasswordTime: 129954117792502335
lastLogoff: 0
lastLogon: 129949649905545787
pwdLastSet: 129948648233962943
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAABP7bJiQPVlNtcWUsVAQAAA==
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: testuser
sAMAccountType: 805306368
userPrincipalName: testuser@secfvt2.austin.ibm.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=secfvt2,DC=austin,DC=i
 bm,DC=com
dSCorePropagationData: 16010101000000.0Z
lastLogonTimestamp: 129985909582341952
    Mit dem folgenden Filter wird nach Einträgen mit einem Benutzer-ID-Attribut (sAMAccountName) gesucht, die mit der Benutzer-ID übereinstimmen, die für die Anmeldung beim System verwendet wurde. Der Filter sucht nur nach Einträgen in den Objektklassen organizationalPerson und person.
    "(&(sAMAccountName={0})(ObjectClass=organizationalPerson)(ObjectClass=person))"

    Wenn es eine Übereinstimmung gibt, wird der Platzhalter {0} durch die Benutzer-ID aus der Anmeldeanzeige ersetzt.

    Suchfilter (Gruppen)
    Anmerkung: Bestätigen Sie, dass der Gruppensuchfilter wirksam ist, indem Sie einen LDAP-Authentifizierungstest durchführen. Weitere Informationen erhalten Sie, wenn Sie im Abschnitt Zugehörige Tasks unten auf LDAP-Authentifizierungseinstellungen testen klicken.
    Sie können den Filter verwenden, um in der LDAP-Basis-DN-Unterverzeichnisstruktur (Gruppe) Einträge zu finden, die mit dem Gruppennamen übereinstimmen. Sehen Sie sich dazu beispielsweise den folgenden Eintrag an:
    dn: CN=group1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
objectClass: top
objectClass: group
cn: group1
member: CN=WIMUser3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=WIMUser1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=user3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=user1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=KRBUser3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=KRBUser1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=LDAPUser3,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
member: CN=LDAPUser1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
distinguishedName: CN=group1,CN=Users,DC=secfvt2,DC=austin,DC=ibm,DC=com
instanceType: 4
whenCreated: 20121016162937.0Z
whenChanged: 20121016214016.0Z
uSNCreated: 12972
uSNChanged: 22942
name: group1
objectGUID:: RyfdOC8kXEyOk7Q+qjtjSg==
objectSid:: AQUAAAAAAAUVAAAABP7bJiQPVlNtcWUsXwQAAA==
sAMAccountName: group1
sAMAccountType: 268435456
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=secfvt2,DC=austin,DC=ib
 m,DC=com
dSCorePropagationData: 16010101000000.0Z
    Mit dem folgenden Filter wird nach Einträgen mit einem Gruppen-ID-Attribut sAMAccountName gesucht, die mit dem Gruppennamen übereinstimmen. Dieser Filter sucht nur nach Einträgen innerhalb der Objektklasse Group.
    "(&(sAMAccountName={0})(ObjectClass=Group))"

    Wenn es eine Übereinstimmung gibt, wird der Platzhalter {0} durch den Gruppennamen ersetzt.

    Suchfiltermuster für LDAP-Zugehörigkeit
    Anmerkung: Bestätigen Sie, dass der Mitgliedssuchfilter wirksam ist, indem Sie einen LDAP-Authentifizierungstest durchführen. Weitere Informationen erhalten Sie, wenn Sie im Abschnitt Zugehörige Tasks auf LDAP-Authentifizierungseinstellungen testen klicken.
    Ein Filter, der verwendet wird, um eine Liste mit Gruppenmitgliedereinträgen aus der Unterverzeichnisstruktur "LDAP-Basis-DN (Gruppen)" zurückzugeben. Mit dem folgenden Filter wird beispielsweise in der Objektklasse group nach Einträgen gesucht, die eine bestimmte Gruppe als Mitglied enthalten.
    "(&(member={0}) (objectclass=group))"
    Suchattribut für LDAP-Benutzer
    Der Name des Attributs, das die eindeutige ID des Benutzers repräsentiert. Das Suchattribut für LDAP-Benutzer stimmt in der Regel mit dem im Suchfilter für Benutzer verwendeten Benutzer-ID-Attribut (sAMAccountName) überein.
    Anmerkung: Der Wert des LDAP-Benutzersuchattributs muss mit dem Wert übereinstimmen, der beim Hinzufügen des Benutzers zum System verwendet wird.
    Suchattribut für LDAP-Gruppe
    Der Name des Attributs im Gruppensuchfilter, das den Gruppennamen repräsentiert. Das Suchattribut für LDAP-Gruppen stimmt in der Regel mit dem im Suchfilter für Gruppen verwendeten Gruppen-ID-Attribut überein. Wenn der Attributname im Gruppensuchfilter beispielsweise sAMAccountName ist, sollte das Suchattribut für LDAP-Gruppen auch sAMAccountName lauten. Wenn kein Wert angegeben ist, ist sAMAccountName der Standardwert.
    Suchattribut für LDAP-Zugehörigkeit
    Das Attribut für die Zugehörigkeit zu einer Gruppe. Wenn dieses Attribut nicht angegeben ist, wird für die Suche nach Zugehörigkeit der vollständige definierte Name (DN) des Benutzers verwendet, z. B. member: cn=Test User1, ou=WebSphere, o=IBM, c=US. Geben Sie nur einen anderen Wert an, wenn Sie in der Suchabfrage anstelle des vollständigen definierten Namens ein bestimmtes Attribut des DN verwenden möchten.
    LDAP-JNDI-Verbindungspool
    Wenn der Wert Yes lautet (was der Standardwert ist), ist die Verwendung von JNDI-Verbindungspools aktiviert. Ändern Sie diese Einstellung nur nach Rücksprache mit einem IBM Servicemitarbeiter.
    LDAP-JNDI-Lesezeitlimit (in Millisekunden)
    Wartezeit für die Antwort des LDAP-Servers. Der Standardwert ist fünf Minuten. Geben Sie den Wert 0 an, wenn Sie das Zeitlimit inaktivieren möchten.
    LDAP-Servertyp
    Der Typ des LDAP-Servers. Wenn Sie Microsoft Active Directoryverwenden, wählen Sie Microsoft Active Directoryaus.