独立轻量级目录访问协议注册表
独立轻量级目录访问协议 (LDAP) 注册表使用 LDAP 绑定执行认证。
WebSphere® Application Server 安全性提供并支持大多数主要 LDAP 目录服务器的实现,这些服务器可充当用户和组信息的存储库。 产品进程调用这些 LDAP 服务器来对用户和其他与安全性相关的任务进行认证。 例如,使用服务器来检索用户或组信息。 此支持是通过使用不同的用户和组过滤器以获取用户和组信息提供的。 这些过滤器具有缺省值,可以修改它们来满足您的需要。 定制 LDAP 功能使您可以通过使用适当的过滤 器对其用户注册表使用任何其他的 LDAP 服务器(这些 LDAP 服务器不在产品支持的 LDAP 服务器列表中)。
建议您从独立 LDAP 注册表迁移至联合存储库。 如果您移动到 WebSphere Portal 6.1 和更高版本以及 WebSphere Process Server 6.1 和更高版本,那么应该在这些升级之前迁移到联合存储库。 有关联合存储库及其功能的更多信息,请参阅联合存储库主题。 有关如何迁移至联合存储库的更多信息,请参阅“从独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置”主题。
要使用 LDAP 作为用户注册表,需要知道注册表中定义的管理用户名称、服务器主机和端口以及基本专有名称 (DN),必要时还需要知道绑定 DN 和绑定密码。 可以在可搜索的注册表中选择任何具有管理特权的有效用户。 在某些 LDAP 服务器中,管理用户不可搜索且无法使用,例如 SecureWay中的 cn=root 。 此用户在文档中称为 WebSphere Application Server 安全服务器标识,服务器标识或服务器用户标识。 作为服务器标识意味着用户在调用某些受保护的内部方法时具有特殊特权。 通常,启用安全性后,将使用此标识和密码来登录管理控制台。 如果管理角色包含其他用户,那么可使用那些用户来登录。
在产品中启用安全性时,产品启动期间主管理用户名和密码由注册表认证。 如果认证失败,服务器无法启动。 选择未到期或者不经常更改的标识和密码至关重要。 如果需要在注册表中更改产品服务器用户标识或密码,确保在所有产品服务器启动并正在运行时执行更改。
在注册表中完成更改时,请使用 配置轻量级目录访问协议用户注册表中描述的步骤。 更改标识、密码和其他配置信息,保存、停止并重新启动所有服务器,以使产品使用新的标识或密码。 如果在启用了安全性的情况下启动产品时发生任何问题,那么要禁用安全性之后服务器才能启动。 为了避免发生这些问题,应确保在“全局安全性”面板中对此面板中所做的任何更改进行验证。 当服务器已启动时,可以更改标识、密码和其他配置信息,然后启用安全性。
通过设置正确的配置,可以使用定制轻量级目录访问协议 (LDAP) 功能来支持任何 LDAP 服务器。 但是,因为存在许多配置可能性,所以未将支持扩展到这些定制 LDAP 服务器。
已配置的授权引擎使用用户和组以及安全角色映射信息来执行访问控制决策。
![[z/OS]](../images/ngzos.svg)
如果要将 LDAP 注册表配置为活动的注册表,那么可以配置以下授权机制之一:- 使用 EJBROLE 或 GEJBROLE 概要文件的系统授权工具 (SAF) 授权。 SAF 覆盖任何其他授权机制。
- Tivoli ® Access Manager 作为 Java™ Contract for Containers (JACC) 提供程序。 有关更多信息,请参阅 Tivoli Access Manager 集成作为 JACC 提供程序。
- 用户到角色绑定,由应用程序组装者或 WebSphere Application Server 安全性管理员创建。
可以将 SAF 授权(即,使用 SAF EJBROLE
概要文件对 SAF 用户和组指定角色)用作所有用户注册表的授权机制。 如果在管理控制台上选择 SAF 授权,那么:- SAF 将覆盖任何其他授权选项,例如 Tivoli Access Manager。
- 必须配置并安装 Java 认证和授权服务 (JAAS) 登录映射模块,该模块将 LDAP 或定制注册表身份映射到 SAF 用户标识。 有关更多信息,请参阅 安装和配置定制系统授权工具映射模块。