Emparejamientos clase de objeto/atributo de LDAP para grupos anidados

Los emparejamientos clase de objeto/atributo necesarios para los grupos anidados son diferentes para cada tipo de directorio LDAP.

Considere si necesita grupos anidados

Los grupos anidados no se enumerarán a menos que configure específicamente WebSphere Application Server (WAS) para enumerarlos. No tome la opción de configurar WAS para enumerar los grupos anidados a la ligera porque el uso de grupos anidados en aplicaciones puede hacer que dichas aplicaciones exijan cargas pesadas en el servidor LDAP configurado para resolver la ampliación de grupos anidados. Al decidir si configurar WebSphere Application Server para usar grupos anidados, tenga en cuenta los siguientes factores:

Debe tener un conocimiento básico de la profundidad y amplitud (números y capas de los grupos anidados) existentes en el directorio LDAP para poder calcular el impacto sobre el rendimiento que tendrán las consultas que amplían los grupos anidados en su servidor LDAP configurado.
Verifique que el directorio LDAP se ha desplegado usando grupos anidados.
Nota: En algunos casos, como por ejemplo, IBM Security Directory Server, el administrador LDAP tendría que haber creado grupos anidados con clases de objeto de grupo anidado específicas. Consulte la documentación de IBM Security Directory Server para obtener más información.
Los emparejamientos de atributos mostrados en la tabla 1 son los valores predeterminados estándar para directorios LDAP específicos. Como siempre, consulte su documentación de LDAP y al administrador de LDAP para asegurarse de que su LDAP desplegado utiliza dichos valores predeterminados antes de configurar WebSphere Application Server.

El atributo de miembro de grupo indica los grupos a los que pertenece una entrada. Puede tener varios valores y utiliza sintaxis de nombre distinguido. La pertenencia a grupo se determina mediante la enumeración de todos los atributos de miembros de una entrada de grupo específica. Además:

Los atributos difieren en función de cada proveedor de servicio LDAP
Si los grupos anidados se despliegan en LDAP y se habilitan en WAS, dichos grupos también se enumerarán
Los grupos anidados requieren un atributo operativo para permitir que Connections utilice la manera eficiente en que los proveedores LDAP enumeren la pertenencia a grupo.

La clase de objeto define la colección de atributos que se pueden usar para definir una entrada.

El atributo operativo es necesario para ampliar los grupos anidados y tiene especial significado en un servidor de directorio específico, se mantiene por el servidor, y refleja información que el servidor gestiona sobre una entrada o lo que afecta a la operación de servidor.

He aquí los emparejamientos de clase de objeto/atributo interrumpidos por el tipo de directorio LDAP:

Tabla 1. Emparejamientos de clase de objeto/atributo para directorios LDAP
LDAP	Emparejamiento de atributo/clase de objeto de miembros de grupo	Atributo operativo de miembro de grupo
IBM® Directory Security Server 6.2	atributo: uniquemember clase de objeto: groupOfUniqueNames atributo anidado: ibm-membershipGroup clase de objeto anidada: ibm-nestedGroup	ibm-allGroups
Active Directory 2008	atributo: member clase de objeto: group Nota: Active Directory no amplía los grupos anidados automáticamente. WAS requiere una configuración especial para la ampliación de grupos.	memberOf
IBM Domino 8.5.x	atributo: member clase de objeto: dominoGroup	DominoAccessGroups
Sun Directory Server 7	atributo: uniquemember clase de objeto: groupOfUniqueNames	isMemberOf
Novell eDirectory 5.8.8	atributo: member clase de objeto: groupOfNames	groupMembership

Nota: Para sacar provecho de los grupos anidados de Active Directory, Connections 5.0 CR1 o superior debe estar desplegado. Asimismo, debe establecerse una JVM específica en el sistema que ejecuta WAS y Connections. Añada la siguiente JVM al argumento genérico de JVM: Dcom.ibm.connections.recursively.search.membership=true.