Configuración de los registros de usuario de LDAP (Lightweight Directory Access Protocol)

Para acceder a un registro de usuarios mediante LDAP (Lightweight Directory Access Protocol), debe conocer un nombre de usuario válido (ID), la contraseña, el host del servidor y el puerto del servidor del registro, el nombre distinguido (DN) básico y, si es necesario, el DN de enlace y la contraseña de enlace. Puede elegir cualquier usuario válido en el registro de usuario que se pueda buscar. Puede utilizar cualquier ID de usuario que tenga el rol administrativo para iniciar la sesión.

1. En la consola administrativa, haga clic en Seguridad > seguridad global .
2. En Repositorio de cuentas de usuario, haga clic en Definiciones de reino disponibles lista desplegable, seleccione Registro LDAP independiente y haga clic Configurar.
3. Introduzca un nombre de usuario válido en el Nombre de usuario administrativo principal campo.
   El nombre de usuario es el nombre abreviado del usuario que se define mediante el filtro de usuario en el panel Valores LDAP avanzados.
4. Determine si va a especificar la identidad de usuario que se utiliza para la comunicación de procesos internos.
   Las células que contienen nodos de la Versión 5.1 o 6.x requieren una identidad de usuario de servidor que esté definida en el repositorio de usuarios activo. De forma predeterminada, la opción Identidad de servidor generada automáticamente está habilitada y el servidor de aplicaciones genera la identidad del servidor. No obstante, puede seleccionar la opción La identidad del servidor que se almacena en el repositorio para especificar la identidad del servidor y su contraseña asociada.
5. Seleccione el tipo de servidor LDAP que desea utilizar en la Tipo lista.
   El tipo de servidor LDAP determina los filtros predeterminados que utiliza WebSphere® Application Server. Estos filtros por omisión cambian el campo Tipo a Personalizado, lo que indica que se están utilizando los filtros personalizados. Esta acción se produce después de pulsar Aceptar o Aplicar en el panel Valores LDAP avanzados. Elija el tipo Personalizado en la lista y modifique los filtros de usuario y grupo para que utilicen otros servidores LDAP, si es necesario.

   IBM Tivoli® Directory Server los usuarios pueden elegir IBM Tivoli Directory Server como tipo de directorio. Utilizar el IBM Tivoli Directory Server tipo de directorio para un mejor rendimiento.

   Atención: IBM SecureWay El nombre de Directory Server ha cambiado a IBM Tivoli Directory Server en WebSphere Application Server versión 6.1.
6. Introduzca el nombre de host completo del servidor LDAP en el Anfitrión campo.
   Puede especificar la dirección IP o el nombre del sistema de nombres de dominio (DNS).
7. Introduzca el número de puerto del servidor LDAP en el Puerto campo.
   El nombre de host y el número de puerto representan el dominio de este servidor LDAP en el WebSphere Application Server celúla. Por lo tanto, si los servidores de distintas células se comunican entre sí con símbolos LTPA (Lightweight Third Party Authentication), estos reinos debe ser iguales en todas las células.

   El valor predeterminado es389. Si son múltiples WebSphere Los servidores de aplicaciones están instalados y configurados para ejecutarse en el mismo dominio de inicio de sesión único, o si el WebSphere Application Server interopera con una versión anterior del WebSphere Application Server, entonces es importante que el número de puerto coincida con todas las configuraciones. Por ejemplo, si el puerto LDAP se especifica explícitamente como 389 en una versión 5. X configuración y un WebSphere Application Server en la versión 6.0. X va a interoperar con la versión 5. X servidor, luego verifique ese puerto389se especifica explícitamente para la versión 6.0. X servidor.

   Puede establecer la propiedad personalizada com.ibm.websphere.security.ldap.logicRealm para cambiar el valor del nombre del reino que se ubica en la señal. Para obtener más información, consulte el tema Propiedades personalizadas de seguridad.

8. Ingrese el nombre distinguido base (DN) en el Nombre distinguido base campo.
   El DN básico indica el punto de partida para las búsquedas en este servidor de directorios LDAP. Por ejemplo, para un usuario con un DN decn=John Doe, ou=Rochester, o=IBM, c=US, especifique el DN base como cualquiera de las siguientes opciones, asumiendo un sufijo dec=us:

   • ou=Rochester,o=IBM,c=us
   • o=IBM,c=us
   • c=us

   Para fines de autorización, este campo es sensible a las mayúsculas y minúsculas por omisión. Haga coincidir las mayúsculas y minúsculas en el servidor de directorios. Si se recibe un token (por ejemplo, de otra célula o Lotus Domino ino) el DN base en el servidor debe coincidir exactamente con el DN base de la otra célula o Domino. Si no es necesario tener en cuenta la sensibilidad a mayúsculas y minúsculas para la autorización, habilite la opción Ignorar mayúsculas/minúsculas para autorización.

   En WebSphere Application Server, el nombre completo se normaliza según la especificación del Protocolo ligero de acceso a directorios (LDAP). La normalización consiste en eliminar espacios en el nombre distinguido base antes o después de las comas y de los signos de igual. Un ejemplo de un nombre distintivo base no normalizado eso = ibm, c = usoo=ibm, c=us. Un ejemplo de un nombre distinguido base normalizado eso=ibm,c=us.

   Para interoperar entre WebSphere Application Server Versión 6.0 y versiones posteriores, debe ingresar un nombre distinguido base normalizado en el Nombre distinguido base campo. En WebSphere Application Server, Versión 6.0 o posterior, la normalización se produce automáticamente durante el tiempo de ejecución.

   Este campo es obligatorio para todos los directorios LDAP excepto el Lotus Domino Directorio. El Nombre distinguido base El campo es opcional para el servidor Domino.

9. Opcional: Introduzca el nombre DN de enlace en el Vincular nombre distinguido campo.
   El DN de enlace es necesario si no se pueden realizar enlaces anónimos en el servidor LDAP para obtener información de usuarios y grupos. Si el servidor LDAP está configurado para utilizar enlaces anónimos, deje este campo en blanco. Si no se especifica un nombre, el servidor de aplicaciones realiza el enlace de forma anónima. Consulte la descripción del campo Nombre distinguido básico para ver ejemplos de nombres distinguidos.
10. Opcional: Ingrese la contraseña correspondiente al DN de enlace en el Vincular contraseña campo.
11. Opcional: Modifique el valor del tiempo de espera de búsqueda.
    Este valor es el máximo período de tiempo que el servidor LDAP espera a enviar una respuesta al cliente del producto antes de detener la petición. El valor por omisión es 120 segundos.
12. Asegúrese de que el Reutilizar conexión La opción está seleccionada.
    Esta opción especifica que el servidor debe reutilizar las conexiones LDAP. Deseleccione esta opción en los casos excepcionales en que se utilice un direccionador para enviar las peticiones a varios servidores LDAP y éste no dé soporte a la afinidad. Deje esta opción seleccionada en las demás situaciones.
13. Opcional: Verifique que el Ignorar caso para autorización La opción está habilitada.
    Cuando se habilita esta opción, la comprobación de autorización no será sensible a las mayúsculas/minúsculas. Normalmente, para la comprobar la autorización es necesario comprobar el DN completo de un usuario, que es exclusivo en el servidor LDAP, y es sensible a las mayúsculas y minúsculas. Sin embargo, cuando utiliza el IBM Directory Server o Sun ONE (anteriormente iPlanet) Servidores LDAP de Directory Server, debe habilitar esta opción porque la información del grupo que se obtiene de los servidores LDAP no es consistente en caso de que sea así. Esta incoherencia sólo afecta a la comprobación de autorización. De lo contrario, este campo es opcional y se puede habilitar cuando sea necesario realizar una comprobación de autorización sensible a las mayúsculas y minúsculas. Por ejemplo, puede seleccionar esta opción cuando utilice certificados y el contenido de los certificados no coincidan con las mayúsculas/minúsculas de la entrada en el servidor LDAP.

    También puedes habilitar el Ignorar caso para autorización opción cuando utiliza el inicio de sesión único (SSO) entre el producto y Lotus Domino. El valor por omisión es habilitado.

14. Opcional: Selecciona el SSL habilitado opción si desea utilizar comunicaciones Secure Sockets Layer con el servidor LDAP.
    Importante: Este paso solo será exitoso siempre que el certificado de firmante para LDAP se agregue primero al almacén de confianza que se utilizará eventualmente. Si el certificado de firmante de LDAP no se añade al almacén de confianza, ocurrirá lo siguiente:

    • La consola administrativa emitirá un error.
    • El systemout.log del gestor de despliegue (DMGR) muestra el mensaje CWPKI0022E: ERROR EN EL RECONOCIMIENTO DE COMUNICACIÓN que indica que es necesario añadir el certificado de firmante al almacén de confianza.

    Para garantizar una operación libre de errores en este paso, primero debe extraer en un archivo el certificado de firmante del LDAP y enviar ese archivo al WebSphere Application Server máquina. Entonces podrá añadir el certificado al almacén de confianza que se define para LDAP. De esta forma, se asegura de que las acciones restantes para este paso serán satisfactorias.

    Si selecciona la opción Habilitado para SSL, puede seleccionar la opción Gestionado centralmente o Utilizar alias SSL específico.

    Gestionado centralmente

    Permite especificar una configuración SSL para un ámbito en particular como la célula, el nodo, el servidor o el clúster de una ubicación. Para utilizar la opción Gestionado centralmente, debe especificar la configuración SSL para el conjunto de puntos finales en particular. El panel Gestionar configuraciones de seguridad de punto final y zonas de confianza muestra todos los puntos finales de entrada y salida que utilizan el protocolo SSL. Si expande la sección Entrada o Salida del panel y pulsa en el nombre del nodo, puede especificar una configuración SSL que se utilice para todos los puntos finales de ese nodo. Para registros LDAP, puede alterar temporalmente la configuración SSL heredada especificando una configuración SSL para LDAP. Para especificar una configuración SSL para LDAP, siga estas instrucciones:

    1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final y zonas de confianza.
    2. Expanda Salida > nombre_célula > Nodos > nombre_nodo > Servidores > nombre_servidor > LDAP.

    Utilizar alias SSL específico

    Seleccione la opción Utilizar alias SSL específico si tiene previsto seleccionar una de las configuraciones SSL en el menú.

    Esta configuración sólo se utiliza cuando SSL esté habilitada para LDAP. El valor por omisión es DefaultSSLSettings. Puede pulsar el nombre de una configuración existente para modificarla completar los siguientes pasos para crear una nueva configuración SSL:

    1. Pulse Seguridad > Gestión de claves y certificados SSL.
    2. En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final .
    3. Seleccione un nombre_configuración SSL (Capa de sockets seguros) para ámbitos seleccionados como, por ejemplo, una célula, nodo, servidor o clúster.
    4. En Elementos relacionados, haga clic en Configuraciones SSL.
    5. Pulse Nuevo.

15. Hacer clic DE ACUERDO o Aplicar hasta que regrese al panel de Seguridad global y, en la página Seguridad global, haga clic en Ahorrar, para asegurarse de que la configuración LDAP esté guardada.
16. Comprobar si Definiciones de reino disponibles se establece en Registro LDAP independiente. Si no es así, selecciónelo en el menú desplegable, pulse Establecer como actual y, a continuación, pulse Aplicar.