配置外部安全提供程序

要使用外部安全提供程序，您必须将该提供程序添加到联合存储库中。支持多种类型的存储库，其中包括本地操作系统注册表、独立轻量级目录访问协议 (LDAP) 注册表、独立定制注册表和联合存储库。

关于此任务

IBM® Business Process Manager 的缺省安装提供含有 WebSphere® Application Server 文件注册表的联合存储库。

以下步骤显示了使用联合存储库配置 LDAP 安全提供程序（例如，Microsoft Active Directory）的示例。有关如何配置其他支持的存储库（例如 Tivoli Directory Server）的更多信息，请参阅 IBM 红皮书

IBM Business Process Manager V7.5 生产拓扑的配置 LDAP 作为用户帐户注册表部分。

注： IBM 建议您使用联合存储库（也称为虚拟成员管理器）来配置 LDAP 安全提供程序。

限制：

您必须在独立 LDAP 用户存储库中按用户标识来搜索用户。在此配置中不支持按用户名字或姓氏来搜索用户。
如果将 Active Directory 用作用户存储库，并搜索包含具有变音符的字母的用户名，那么搜索将忽略变音符，并将返回包含该字符（不论该字符是否具有变音符）的所有用户名。例如，如果搜索包含了具有重音符的字母 e 的用户名，那么不仅将返回那些用户名，还将返回包含了具有任何其他重音符的 e 或包含了不具有重音符的 e 的用户名。

过程

登录到 WebSphere Application Server 管理控制台。
单击安全性 > 全局安全性。
在用户帐户存储库下，从可用域定义列表中选择联合存储库。
单击配置。
在相关项目下，单击管理存储库。

单击添加 > LDAP 存储库，并指定要添加的提供程序的参数。例如，要添加 Microsoft Active Directory，请指定诸如以下示例的值：

表 1. 用于添加提供程序的参数
参数	示例值
存储库标识	`SALOMLDAP // change to suit`
目录类型	`Microsoft Windows Active Directory`
主要主机名	`10.1.5.18`
绑定专有名称	`cn=LDAP_USER,CN=Users,DC=COMPANYQA,DC=com`
绑定密码	`pwsaaswp`

单击确定，然后单击保存。

在“联合存储库”页面上，单击将基本条目添加到域，并指定诸如以下示例的值：

表 2. 用于将基本条目添加到域的参数
基本条目名称	示例值
基本条目的专有名称（用于唯一标识域中的该条目集）	`cn=Users,DC=COMPANYQA,DC=com`
该存储库中基本条目的专有名称	`cn=Users,DC=COMPANYQA,DC=com`

单击确定，然后单击保存。
如果您的外部安全提供程序 (LDAP) 包含大量条目，那么必须增加联合存储库中的最大搜索结果数。完全同步将查询 LDAP 中的所有条目。此流程受限于 wimconfig.xml 中的最大搜索值。在 WebSphere Application Server 中，最大搜索结果数的缺省值是 4500 个条目。此值并非 WebSphere Application Server 可以处理的最大 LDAP 用户或组数，而是基于 wimconfig.xml 文件中的配置值返回的最大数。检查 SystemOut.log 文件以查找 CWWIM1018E 错误代码。如果您遇到此问题，那么可以增加 wimconfig.xml 文件中的最大搜索结果数，如 WebSphere Application Server 信息中心中主题LDAP 存储库搜索期间发生 MaxResultsExceededException 中所述。完成更改后，请重新启动 IBM BPM 服务器，然后进行完全同步
在“全局安全性”页面上，单击设置为当前值，然后单击应用。
关闭所有 IBM BPM 服务器。对于网络部署环境，您必须关闭所有服务器、节点代理程序和部署管理器。
确保在 WebSphere Application Server 文件注册表和您刚添加的安全提供程序中不存在重复的用户。如果存在重复的用户，那么运行 IBM Business Process Manager 产品组件时将发生错误。
启动所有 IBM BPM 服务器。对于网络部署环境，您必须重新启动所有服务器、节点代理程序和部署管理器。
如果您已为运行时环境配置服务器集群，请停止并重新启动该集群中的所有服务器。