LDAP-Objektklasse/Attribut-Paare für verschachtelte Gruppen

Die erforderlichen Objektklasse-Attribut-Paare sind für jeden LDAP-Verzeichnistyp anders.

Bedarf an verschachtelten Gruppen erwägen

Verschachtelte Gruppen werden nicht aufgezählt, es sei denn, Sie konfigurieren WebSphere Application Server (WAS) entsprechend. Sie sollten die Entscheidung, ob Sie WAS für die Aufzählung von verschachtelten Gruppen konfigurieren möchten, gut überlegen, da die Verwendung von verschachtelten Gruppen in Anwendungen dazu führen kann, dass diese Anwendungen den konfigurierten LDAP-Server für die Auflösung einer verschachtelten Gruppenerweiterung stark belasten. Bei der Entscheidung, ob Sie WebSphere Application Server für die Verwendung von verschachtelten Gruppen konfigurieren möchten, sollten Sie die folgenden Faktoren berücksichtigen:

Sie sollten eine grundlegende Vorstellung von der Tiefe und Ausdehnung (Anzahl und Ebenen an verschachtelten Gruppen) haben, die in Ihrem LDAP-Verzeichnis vorhanden sind, sodass Sie die Beeinträchtigung der Leistung abschätzen können, die Abfragen, welche verschachtelte Gruppen erweitern, auf Ihren konfigurierten LDAP-Server haben werden.
Stellen Sie sicher, dass das LDAP-Verzeichnis unter Verwendung von verschachtelten Gruppen implementiert wurde.
Anmerkung: In einigen Fällen, wie z. B. bei IBM Security Directory Server, muss der LDAP-Administrator verschachtelte Gruppen mit speziellen Objektklassen für verschachtelte Gruppen erstellen. Weitere Informationen hierzu finden Sie in der Dokumentation zu IBM Security Directory Server.
Die Attributpaare, die in Tabelle 1 aufgeführt sind, sind die Standardwerte für bestimmte LDAP-Verzeichnisse. Sie sollten auf jeden Fall die entsprechenden Informationen in der LDAP-Dokumentation nachlesen und sich an den zuständigen LDAP-Administrator wenden, um sicherzustellen, dass Ihr implementiertes LDAP-Verzeichnis diese Standardwerte verwendet, bevor Sie WebSphere Application Server konfigurieren.

Das Gruppenmitgliedsattribut gibt die Gruppen an, zu denen ein Eintrag gehört. Es kann mehrere Werte annehmen und verwendet eine Syntax mit eindeutigen Namen. Die Gruppenmitgliedschaft wird durch die Aufzählung aller Mitgliedsattribute für einen bestimmten Gruppeneintrag bestimmt. Ferner gilt Folgendes:

Die Attribute unterscheiden sich je nach LDAP-Service-Provide.
Wenn verschachtelte Gruppen in LDAP implementiert und in WAS aktiviert werden, werden diese Gruppen ebenfalls aufgezählt.
Für verschachtelte Gruppen ist ein aktives Attribut erforderlich, damit Connections das effiziente Verfahren nutzen kann, mit dem LDAP-Provider Gruppenmitgliedschaften aufzählen.

Die Objektklasse (objectclass) definiert die Sammlung von Attributen, die zum Definieren eines Eintrags verwendet werden kann.

Das aktive Attribut ist erforderlich, um verschachtelte Gruppen zu erweitern. Es hat eine spezielle Bedeutung für einen bestimmten Directory-Server, es wird vom Server verwaltet und spiegelt Informationen wider, die der Server zu einem Eintrag verwaltet oder die den Serverbetrieb beeinflussen.

Im Folgenden sind die erforderlichen Objektklasse-Attribut-Paare nach LDAP-Verzeichnistyp geordnet aufgelistet:

Tabelle 1. Objektklasse-Attribut-Paare für LDAP-Verzeichnisse
LDAP	Gruppenmitgliedsattribut-Objektklasse-Paar	Aktives Gruppenmitgliedsattribut
IBM® Directory Security Server 6.2	Attribut: uniquemember Objektklasse: groupOfUniqueNames Verschachteltes Attribut: ibm-membershipGroup Verschachtelte Objektklasse: ibm-nestedGroup	ibm-allGroups
Active Directory 2008	Attribut: member Objektklasse: group Anmerkung: Active Directory erweitert verschachtelte Gruppen nicht automatisch. Für WAS ist eine Sonderkonfiguration für Gruppenerweiterung erforderlich.	memberOf
IBM Domino 9.0.x	Attribut: member Objektklasse: dominoGroup	DominoAccessGroups
Sun Directory Server 7	Attribut: uniquemember Objektklasse: groupOfUniqueNames	isMemberOf
Novell eDirectory 5.8.8	Attribut: member Objektklasse: groupOfNames	groupMembership

Anmerkung: Um verschachtelte Gruppen für Active Directory zu nutzen, muss mindestens Connections 5.0 CR1 implementiert sein. Außerdem muss eine bestimmte JVM für das System definiert werden, auf dem WAS und Connections ausgeführt werden. Fügen Sie die folgende JVM zum generischen JVM-Argument hinzu: Dcom.ibm.connections.recursively.search.membership=true.