獨立式「輕量型目錄存取通訊協定」登錄

「獨立式輕量型目錄存取通訊協定 (LDAP)」登錄會使用 LDAP 連結來執行鑑別。

WebSphere® Application Server 安全提供並支援大部分主要 LDAP 目錄伺服器的實作，可作為使用者和群組資訊的儲存庫。產品處理程序會呼叫這些 LDAP 伺服器，以鑑別使用者及其他安全相關作業。例如，伺服器用來擷取使用者或群組資訊。這項支援是透過使用不同的使用者和群組過濾器來提供，以取得使用者和群組資訊。這些過濾器具有預設值，您可以修改以符合您的需求。自訂 LDAP 特性可讓您使用適當的過濾器，針對其使用者登錄使用任何其他 LDAP 伺服器 (不在產品支援的 LDAP 伺服器清單中)。

附註: 起始設定檔建立會將 WebSphere Application Server 配置成搭配使用聯合儲存庫安全登錄選項與檔案型登錄。您可以變更此安全登錄配置，以使用其他選項，包括獨立式 LDAP 登錄。請考慮使用聯合儲存庫選項來提供 LDAP 配置，而不要在「使用者帳戶儲存庫」配置下將聯合儲存庫選項變更為獨立式 LDAP 登錄選項。聯合儲存庫提供廣泛的功能，包括具有一或多個使用者登錄的功能。除了檔案型和自訂登錄之外，它還支援聯合一或多個 LDAP。此外，它也具有改良的失效接手功能，以及一組健全的成員（使用者和群組）管理功能。當您在 WebSphere Portal 6.1 及更新版本，以及 Process Server 6.1 及更新版本中使用新的成員管理功能時，需要聯合儲存庫。下列 LDAP 轉介需要使用聯合儲存庫，這是部分 LDAP 伺服器環境 (例如 Microsoft Active Directory) 中的一般需求。

建議您從獨立式 LDAP 登錄移轉至聯合儲存庫。如果您移至 WebSphere Portal 6.1 及更新版本，以及或 WebSphere Process Server 6.1 及更新版本，則應該在這些升級之前移轉至聯合儲存庫。如需聯合儲存庫及其功能的相關資訊，請閱讀「聯合儲存庫」主題。如需如何移轉至聯合儲存庫的相關資訊，請閱讀「將獨立式 LDAP 儲存庫移轉至聯合儲存庫 LDAP 儲存庫配置」主題。

如果要使用 LDAP 作為使用者登錄，您需要知道登錄中所定義的管理使用者名稱、伺服器主機和埠、基本識別名稱 (DN) ，以及連結 DN 和連結密碼 (必要的話)。您可以在登錄中選擇任何可搜尋且具有管理專用權的有效使用者。在部分 LDAP 伺服器中，管理使用者無法搜尋且無法使用，例如， SecureWay 中的 cn=root 。在文件中，此使用者稱為 WebSphere Application Server 安全伺服器 ID、伺服器 ID 或伺服器使用者 ID。作為伺服器 ID 表示使用者在呼叫某些受保護的內部方法時具有特殊專用權。一般而言，在開啟安全之後，會使用這個 ID 和密碼來登入管理主控台。如果其他使用者是管理角色的一部分，您可以使用這些使用者來登入。

當產品中啟用安全時，在產品啟動期間，會向登錄鑑別主要管理使用者名稱和密碼。如果鑑別失敗，則伺服器不會啟動。請務必選擇不會到期或經常變更的 ID 和密碼，這一點很重要。如果產品伺服器使用者 ID 或密碼需要在登錄中變更，請確定在所有產品伺服器都已啟動並執行時執行變更。

在登錄中完成變更之後，請使用配置輕量型目錄存取通訊協定使用者登錄中說明的步驟。變更 ID、密碼及其他配置資訊，儲存、停止並重新啟動所有伺服器，以便產品使用新的 ID 或密碼。當啟用安全時，如果啟動產品時發生任何問題，請先停用安全，然後伺服器才能啟動。為了避免這些問題，請確定已在「廣域安全」畫面中驗證此畫面中的任何變更。當伺服器啟動時，您可以變更 ID、密碼及其他配置資訊，然後啟用安全。

您可以透過設定正確的配置，使用自訂「輕量型目錄存取通訊協定 (LDAP)」特性來支援任何 LDAP 伺服器。不過，支援不會延伸至這些自訂 LDAP 伺服器，因為有許多配置可能性存在。

所配置的授權引擎會使用使用者和群組以及安全角色對映資訊來執行存取控制決策。