独立轻量级目录访问协议注册表

独立轻量级目录访问协议 (LDAP) 注册表使用 LDAP 绑定来执行认证。

WebSphere® Application Server安全性提供并支持大多数主流 LDAP 目录服务器的实现，可作为用户和组信息的存储库。产品进程调用这些 LDAP 服务器来对用户和其他与安全性相关的任务进行认证。例如，使用服务器来检索用户或组信息。此支持是通过使用不同的用户和组过滤器以获取用户和组信息提供的。这些过滤器具有缺省值，可以修改它们来满足您的需要。定制 LDAP 功能使您可以通过使用适当的过滤器对其用户注册表使用任何其他的 LDAP 服务器（这些 LDAP 服务器不在产品支持的 LDAP 服务器列表中）。

笔记：初始配置文件创建配置WebSphere Application Server将联合存储库安全注册表选项与基于文件的注册表结合使用。可将此安全注册表配置更改为使用其他选项，包括独立 LDAP 注册表。请考虑使用提供 LDAP 配置的联合存储库选项，而不是从联合存储库选项更改为用户帐户存储库配置下的独立 LDAP 注册表选项。联合存储库提供了方方面面的功能，包括具有一个或多个用户注册表的能力。它除了支持基于文件的注册表和定制注册表以外，还支持联合一个或多个 LDAP。它还具有改进过的故障转移能力以及一整套功能强大的成员（用户和组）管理功能。当您使用新的成员管理功能时，需要联合存储库WebSphere Portal6.1及以上，并且Process Server6.1甚至更高。遵循 LDAP 引用需要使用联合存储库，这是某些 LDAP 服务器环境（如 MicrosoftActive Directory）。

建议您从独立 LDAP 注册表迁移至联合存储库。如果你搬到WebSphere Portal6.1及以上，并且或WebSphere Process Server6.1及更高版本，您应该在进行这些升级之前迁移到联合存储库。有关联合存储库及其功能的更多信息，请参阅联合存储库主题。有关如何迁移至联合存储库的更多信息，请参阅“从独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置”主题。

要使用 LDAP 作为用户注册表，需要知道注册表中定义的管理用户名称、服务器主机和端口以及基本专有名称 (DN)，必要时还需要知道绑定 DN 和绑定密码。可以在可搜索的注册表中选择任何具有管理特权的有效用户。在某些 LDAP 服务器中，管理用户不可搜索且无法使用，例如， cn=root在SecureWay。该用户被称为WebSphere Application Server文档中的安全服务器 ID、服务器 ID 或服务器用户 ID。作为服务器标识意味着用户在调用某些受保护的内部方法时具有特殊特权。通常，启用安全性后，将使用此标识和密码来登录管理控制台。如果管理角色包含其他用户，那么可使用那些用户来登录。

在产品中启用安全性时，产品启动期间主管理用户名和密码由注册表认证。如果认证失败，服务器无法启动。选择未到期或者不经常更改的标识和密码至关重要。如果需要在注册表中更改产品服务器用户标识或密码，确保在所有产品服务器启动并正在运行时执行更改。

在注册表中完成更改后，请使用配置轻量级目录访问协议用户注册表。更改标识、密码和其他配置信息，保存、停止并重新启动所有服务器，以使产品使用新的标识或密码。如果在启用了安全性的情况下启动产品时发生任何问题，那么要禁用安全性之后服务器才能启动。为了避免发生这些问题，应确保在“全局安全性”面板中对此面板中所做的任何更改进行验证。当服务器已启动时，可以更改标识、密码和其他配置信息，然后启用安全性。

通过设置正确的配置，可以使用定制轻量级目录访问协议 (LDAP) 功能来支持任何 LDAP 服务器。但是，因为存在许多配置可能性，所以未将支持扩展到这些定制 LDAP 服务器。

已配置的授权引擎使用用户和组以及安全角色映射信息来执行访问控制决策。