Establecimiento de controles de acceso para el proxy

Editar en línea

Las listas de control de acceso (ACL) no se pueden gestionar desde el Security Directory Server servidor proxy. Cuando se utiliza un servidor proxy, es el servidor de fondo el que aplica el control de acceso. El administrador de LDAP debe asegurarse de que se crean las ACL adecuadas en cada uno de los servidores de fondo si las ACL existen en el objeto de nivel superior del punto de división de partición.

Acerca de esta tarea

Verify Identity Access debe tener un control de acceso adecuado que le permita gestionar usuarios y grupos dentro de los sufijos donde se mantienen las definiciones de usuarios y grupos. Para establecer las ACL necesarias en los servidores back-end para permitir que Verify Identity Access gestione los sufijos de partición, utilice la utilidad Verify Identity Access ivrgy_tool con el parámetro add-acls con el parámetro

Procedimiento

  1. Ejecute la utilidad ivrgy_tool desde cualquier sistema en el que esté instalado el componente Verify Identity Access Runtime.
    Por ejemplo, el sistema donde está instalado el servidor de políticas.
  2. Para aplicar las ACL adecuadas en cada uno de los servidores de fondo, ejecute el mandato siguiente:
    ivrgy_tool -h backend_host -p backend_port -D ldap_admin_DN \
-w ldap_admin_pwd -d [-Z] [-K ssl_keyfile] [-P ssl_keyfile_pwd] \
[-N label] add-acls domain

    Para obtener más información sobre el programa de utilidad ivrgy_tool, consulte los temas de referencia de IBM Knowledge Center.

Resultados

El servidor de directivas es el único componente de Verify Identity Access que debe reorientarse al Security Directory Server como se describe en Configuración de Verify Identity Access con el proxy. Otros componentes de Verify Identity Access, como el servidor de autorización o WebSEAL, no necesitan ser reorientados.

Una vez configurado el servidor de directivas, se pueden configurar normalmente otros componentes de Verify Identity Access.

Al configurar Verify Identity Access Runtime para otros componentes, es necesario especificar el nombre de host y el puerto del servidor proxy de Security Directory Server en lugar del nombre de host de LDAP. No es necesario indicar ninguno de los servidores de fondo.