高级轻量级目录访问协议用户注册表设置

当用户和组驻留在外部 LDAP 目录中时,使用此页面来配置高级轻量级目录访问协议 (LDAP) 用户注册表设置。

要查看此管理页,完成以下步骤:
  1. 单击 安全性 > 全局安全性
  2. 在“用户帐户存储库”下,单击可用的领域定义下拉列表,选择独立 LDAP 注册表,然后单击配置
  3. 在“其他属性”下,单击高级轻量级目录访问协议 (LDAP) 用户注册表设置

在相应的字段中已经完成了与过滤器相关的所有用户和组的缺省值。 可以根据您的需求更改这些值。 这些缺省值基于“独立 LDAP 注册表设置”面板中选择的 LDAP 服务器类型。 如果更改了此类型,例如从 Netscape 更改为 Secureway,缺省过滤器也会自动更改。 当缺省过滤器值更改时, LDAP 服务器类型将更改为 Custom 以指示使用了定制过滤器。 如果已启用安全性,在更改任何这些属性后,请转至“全局安全性”面板并单击应用确定以验证更改。

注: 初始概要文件创建将 WebSphere® Application Server 配置为将联合存储库安全注册表选项与基于文件的注册表配合使用。 可将此安全注册表配置更改为使用其他选项,包括独立 LDAP 注册表。 请考虑使用提供 LDAP 配置的联合存储库选项,而不是从联合存储库选项更改为用户帐户存储库配置下的独立 LDAP 注册表选项。 联合存储库提供了方方面面的功能,包括具有一个或多个用户注册表的能力。 它除了支持基于文件的注册表和定制注册表以外,还支持联合一个或多个 LDAP。 它还具有改进过的故障转移能力以及一整套功能强大的成员(用户和组)管理功能。 当您在 WebSphere Portal 6.1 和更高版本以及 Process Server 6.1 和更高版本中使用新的成员管理功能时,需要联合存储库。 以下 LDAP 引荐需要使用联合存储库,这是某些 LDAP 服务器环境 (例如 Microsoft Active Directory) 中的常见需求。

建议您从独立 LDAP 注册表迁移至联合存储库。 如果移至 WebSphere Portal 6.1 和更高版本,或者移至 WebSphere Process Server 6.1 和更高版本,那么应在这些升级之前迁移到联合存储库。 有关联合存储库及其功能的更多信息,请参阅联合存储库主题。 有关如何迁移至联合存储库的更多信息,请参阅“从独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置”主题。

用户过滤器

指定搜索用户的用户注册表的 LDAP 用户过滤器。

此选项通常用于指定安全角色到用户的映射,它指定用于在目录服务中查找用户的属性。 例如,要基于他们的用户标识查找用户,那么指定 (&(uid=%v)(objectclass=inetOrgPerson))。 有关此语法的更多信息,请参阅 LDAP 目录服务文档。

信息
数据类型: 字符串

组过滤器

指定搜索组的用户注册表的 LDAP 组过滤器

此选项通常用于指定安全角色到组的映射,它指定用于在目录服务中查找组的属性。 有关此语法的更多信息,请参阅 LDAP 目录服务文档。

信息
数据类型: 字符串

用户标识映射

指定用于将用户的短名称映射至 LDAP 条目的 LDAP 过滤器。

指定显示用户时表示用户的一段信息。 例如,要按用户的标识显示类型为 object class = inetOrgPerson 的条目,请指定 inetOrgPerson:uid。 此字段使用由分号 (;) 定界的多个 objectclass:property 对。

信息
数据类型: 字符串

组标识映射

指定用于将组的短名称映射到 LDAP 条目的 LDAP 过滤器。

指定显示组时表示组的一段信息。 例如,要按组名显示组,指定 *:cn。 在这种情况下,(*) 是搜索任何对象类的通配符。 此字段使用由分号 (;) 定界的多个 objectclass:property 对。

信息
数据类型: 字符串

组成员标识映射

指定用于标识用户与组的关系的 LDAP 过滤器。

对于SecureWay,和 Domino 目录类型,该字段包含多个对象类:属性对,以分号 (;) 分隔。在对象类:属性对中,对象类值与组过滤器中定义的对象类相同,而属性则是成员属性。 如果对象类值与组过滤器中的对象类不匹配,并且组映射至安全角色,那么授权可能会失败。 有关此语法的更多信息,请参阅 LDAP 目录服务文档。

对于 IBM® Directory Server , Sun ONE 和 Active Directory,此字段采用以分号 (;) 定界的多个 group attribute:member attribute 对。 这些对用于通过枚举给定用户拥有的所有组属性来查找用户的组成员资格。 例如,属性对 memberof:member 由 Active Directory使用, ibm-allGroup:member 由 IBM Directory Server 使用。 此字段还指定对象类的哪个属性存储该对象类所表示的组的成员列表。 有关受支持的 LDAP 目录服务器,请参阅 受支持的目录服务

信息
数据类型: 字符串

Kerberos 用户过滤器

指定 Kerberos 用户过滤器值。 当配置了 Kerberos 并且它是一种首选认证机制时,可以修改此值。

信息
数据类型: 字符串

证书映射方式

指定是使用 EXACT_DN 还是 CERTIFICATE_FILTER 将 X.509 证书映射至 LDAP 目录。 指定 CERTIFICATE_FILTER 将使用指定的证书过滤器进行映射。

信息
数据类型: 字符串

证书过滤器

为 LDAP 过滤器指定过滤器证书映射属性。 该过滤器用于将客户机证书中的属性映射至 LDAP 注册表中的条目。

如果在运行时有多个 LDAP 条目与过滤器规范匹配,那么认证会失败,因为这会导致模糊匹配。 此过滤器的语法或结构为 (&(uid=${SubjectCN})(objectclass=inetOrgPerson))。 过滤器规范包含 LDAP 属性,此属性依赖于 LDAP 服务器配置使用的模式。 过滤器规范还包含客户机证书内的其中一个公共属性。 它必须以美元符号 ($) 和左括号 ({) 开头,并以右括号 (}) 结尾。 您可以使用以下证书属性值,字符串的大小写很重要:
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    其中 <xx> 将替换为表示发布者专有名称的任何有效部分的字符。 例如,可以使用 ${IssuerCN} 来作为签发者的公共名。

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    其中 <xx> 将替换为表示主体集专有名称的任何有效部分的字符。 例如,可以使用 ${SubjectCN} 来作为主体集的公共名。

  • ${Version}
避免麻烦: 不支持将主题备用名称 (SAN) 作为证书过滤器项。
信息
数据类型: 字符串