Eingebundene Repositorys konfigurieren

Verwenden Sie die eingebundenen Repositorys von IBM® WebSphere Application Server zum Verwalten und Sichern von Benutzer- und Gruppenidentitäten.

Vorbereitende Schritte

Stellen Sie sicher, dass Sie die im Abschnitt Konfiguration des LDAP-Verzeichnisses vorbereiten beschriebenen Schritte ausgeführt haben.

Sie können das Benutzerverzeichnis für IBM Connections so konfigurieren, dass es mit Benutzern aus mehreren LDAP-Verzeichnissen ausgefüllt wird.

Wichtig: Stellen Sie sicher, dass Sie die folgenden Richtlinien für die Entitätsobjektklassenzuordnung erfüllen:
  • Wenn Sie IBM Tivoli Directory Security Server verwenden, entscheiden Sie, ob Ihre Implementierung auf der LDAP-Objektklasse groupOfNames oder groupOfUniqueNames für Gruppenentitäten basieren soll. WebSphere Application Server verwendet standardmäßig die Objektklasse groupOfNames. In den meisten Fällen müssen Sie diese Standardzuordnung löschen und eine neue Zuordnung für Gruppenentitäten erstellen, indem Sie die LDAP-Objektklasse groupOfUniqueNames verwenden.
  • Wenn Sie die Objektklasse groupOfUniqueNames für Gruppenentitäten verwenden, verwenden Sie das Attribut uniqueMember als Gruppenmitgliedsattribut.
  • Wenn Sie die Objektklasse groupOfNames für Gruppenentitäten verwenden, verwenden Sie das Attribut "member" als Gruppenmitgliedsattribut.

Informationen zu diesem Vorgang

Gehen Sie wie folgt vor, um eingebundene Repositorys in WebSphere Application Server zu konfigurieren:

Vorgehensweise

  1. Starten Sie WebSphere Application Server und melden Sie sich bei Integrated Solutions Console von Deployment Manager an, indem Sie auf die folgende Webseite zugreifen: http://websphere_Application_Server_host_name:9060/ibm/console
  2. Klicken Sie auf Anmelden und geben Sie die Berechtigungsnachweise des Benutzers mit Administratorberechtigung an, die Sie bei der Installation von WebSphere Application Server angegeben haben.
  3. Klicken Sie auf Sicherheit > Globale Sicherheit.
  4. Wählen Sie die Option Eingebundene Repositorys aus dem Feld Verfügbare Realmdefinitionen aus und klicken Sie dann auf Konfigurieren.
  5. Wenn Sie IBM Connections Content Manager installieren, legen Sie als Realmnamen defaultWIMFileBasedRealm fest.
    Anmerkung: Nach Abschluss der Installation können Sie den Realmname beliebig ändern. Wenn Sie einen Realmnamen ändern, werden in den Protokollen möglicherweise LTPA-Fehler angezeigt. Deshalb sollte die Liste mit geplanten Tasks gelöscht werden, um Fehler in den Protokollen zu vermeiden.
  6. Klicken Sie zuerst auf Repositorys hinzufügen und klicken Sie dann auf der Repositoryreferenzseite auf Neues Repository > LDAP-Repository.
  7. Geben Sie auf der Seite Neu eine Repository-ID, z. B. myFavoriteRepository im Feld Repository-ID ein.
  8. Geben Sie im Feld Verzeichnistyp das verwendete LDAP-Verzeichnis an.

    Weitere Informationen zu unterstützten Verzeichnisprodukten finden Sie unter Ausführliche Systemvoraussetzungen für IBM Connections.

  9. Geben Sie im Feld Primärer Hostname den Hostnamen des primären LDAP-Verzeichnisservers ein. Der Hostname ist entweder eine IP-Adresse oder ein DNS-Name (Domain Name Service).
  10. Wenn Ihr Verzeichnis nicht zulässt, dass LDAP-Attribute anonym gesucht werden, geben Sie in den Feldern Eindeutiger Name für Bindung und Kennwort für Bindung die entsprechenden Werte ein. Das Domino-LDAP-Verzeichnis erlaubt beispielsweise keine anonymen Zugriffe. Wenn Sie ein Domino-Verzeichnis verwenden, müssen Sie in diesen Feldern daher den Benutzernamen und das Kennwort mit Verwaltungszugriff eingeben.
  11. Geben Sie im Feld Anmeldeeigenschaften das Anmeldeattribut oder die Attribute an, die für die Authentifizierung verwendet werden sollen. Trennen Sie mehrere Attribute durch ein Semikolon. Beispiel: uid;mail. Informationen zu den Typen von Anmeldewerten, die verwendet werden können, finden Sie im Abschnitt Anmeldewerte auswählen.
    Anmerkung: Wenn Sie Active Directory verwenden und zudem eine E-Mail-Adresse zur Anmeldung verwenden, geben Sie mail als Wert für diese Eigenschaft ein. Wenn Sie für die Anmeldung das Attribut samAccountName verwenden, geben Sie als Wert für diese Eigenschaft uid an.
    Informationen zu einer Anmeldeeigenschaftskonfiguration speziell für FileNet finden Sie unter Suchen nach Profile- und Community-Mitgliedschaft für FileNet konfigurieren.
  12. Klicken Sie auf Übernehmen und dann auf Speichern.
  13. Auf der Seite zum Repositoryverweis stellen die folgenden Felder die Typ/Wert-Paare des LDAP-Attributs für das Basiselement im Realm und das LDAP-Repository dar. (Die Typ/Wert-Paare sind durch ein Gleichheitszeichen (=) getrennt, z. B.: o=example. Sie können denselben Wert aufweisen, wenn ein einzelnes LDAP-Repository für den Realm konfiguriert wird, und können sich unterscheiden, wenn es sich um eine Konfiguration mit mehreren LDAP-Repositorys handelt.)
    Definierter Name eines Basiseintrags, der diese Gruppe von Einträgen eindeutig im Bereich identifiziert
    Identifiziert Einträge im Realm. Auf einem IBM Directory Server oder in Active Directory ist der Basiseintrag z. B. dc=example, dc=com.
    Tipp: Wenn Sie Domino-LDAP verwenden, legen Sie für dieses Feld root fest. Durch die Verwendung von "root" stellen Sie sicher, dass WebSphere keinen Basiseintrag beim Durchsuchen dieses Repositorys verwendet. Der Grund dafür hat damit zu tun, wie Gruppen in Domino-LDAP funktionieren: Standardmäßig verwendet Domino unstrukturierte Gruppen, die damit nicht zu einem Basiszertifikatsaussteller gehören. Wenn Sie für das Feld Definierter Name eines Basiseintrags, der diese Gruppe von Einträgen eindeutig im Bereich identifiziert den Wert root festlegen, wird keine Basis verwendet, wenn dieses Verzeichnis durchsucht wird, und alle Benutzer und Gruppen aus dem Verzeichnis werden gefunden.
    Definierter Name eines Basiseintrags in diesem Repository
    Identifiziert Einträge im LDAP-Verzeichnis. Lassen Sie dieses Feld leer.

    Dieser Wert definiert die Position in der LDAP-Verzeichnisdatenstruktur, an der die LDAP-Suche beginnt. Auf die Einträge unterhalb dieser Position in der Verzeichnisstruktur kann auch über die LDAP-Suche zugegriffen werden. Anders ausgedrückt, der Suchbasiseintrag ist der oberste Knoten einer Unterverzeichnisstruktur, die aus vielen möglichen untergeordneten Einträgen besteht.

  14. Klicken Sie auf Übernehmen und dann auf Speichern.
  15. Klicken Sie auf OK, um zur Seite Eingebundene Repositorys zurückzukehren.
  16. Klicken Sie in der Spalte der Repository-ID auf den Link des oder der eben hinzugefügten Repositorys.
  17. Klicken Sie im Bereich mit den zusätzlichen Eigenschaften auf den Link für die Zuordnung von Entitätstypen von eingebundenen Repositorys zu LDAP-Objektklassen.
  18. Klicken Sie auf den Entitätstyp Group und ändern Sie die Zuordnung der Objektklassen. Sie können ggf. auch die Felder Suchbasen und Suchfilter bearbeiten. Geben Sie die LDAP-Parameter, die für Ihr LDAP-Verzeichnis geeignet sind, ein.
    Anmerkung: Sie können den Standardobjektklassenwert für "Group" akzeptieren. Wenn Sie jedoch Domino verwenden, ändern Sie den Wert in "dominoGroup".
  19. Klicken Sie auf Übernehmen und dann auf Speichern.
  20. Klicken Sie auf den Entitätstyp PersonAccount und ändern Sie die Zuordnung der Standardobjektklassen. Sie können ggf. auch die Felder Suchbasen und Suchfilter bearbeiten. Geben Sie die LDAP-Parameter, die für Ihr LDAP-Verzeichnis geeignet sind, ein. Klicken Sie auf Übernehmen. Klicken Sie anschließend auf Speichern, um diese Einstellung zu speichern.
    Anmerkung: Wenn Sie ein Domino-LDAP verwenden, ersetzen Sie die Standardzuordnung durch die Objektklassen vom Typ "dominoPerson" für Personenkonten.
  21. Klicken Sie in den Navigationslinks am Anfang der Seite auf den Namen des soeben geänderten Repositorys, um zur Seite Repository.
  22. Optional: Wenn Ihre Anwendungen auf der Gruppenzugehörigkeit aus LDAP basieren, gehen Sie wie folgt vor:
    1. Klicken Sie im Bereich mit den zusätzlichen Eigenschaften auf den Link Definition von Gruppenattributen anschließend auf den Link Member-Attribute.
    2. Klicken Sie auf Neu, um eine Gruppenattributdefinition zu erstellen.
    3. Geben Sie die Werte für die Gruppenzugehörigkeit in den Feldern Name des Member-Attributs und Objektklasse.
    4. Klicken Sie auf Übernehmen und dann auf Speichern.
    Notes:
    • Wenn Sie den Standardwert groupOfNames für "Gruppe" bereits bestätigt haben, können Sie auch den Standardwert für Mitglied übernehmen.
    • Wenn Sie objectclass für "Gruppe" zuvor in dominoGroup geändert haben, müssen Sie dominoGroup zur Definition von Member hinzufügen.
    • Wenn Sie das Gruppenzugehörigkeitsattribut nicht konfigurieren, wird das Attribut "group member" verwendet, wenn Sie nach der Gruppenzugehörigkeit suchen. Wenn Sie Suchvorgänge für Mitglieder verschachtelter Gruppen ausführen müssen, müssen Sie das Gruppenzugehörigkeitsattribut konfigurieren.
    • Im Folgenden finden Sie ein Beispiel für das Gruppenzugehörigkeitsattribut für die Verwendung von "Aktivitäten": Der Attributtyp "Member" wird von der Objektklasse groupOfNames verwendet und der Attributtyp uniqueMember wird von groupOfUniqueNames verwendet.
    • Im Folgenden sind die erforderlichen Objektklasse-Attribut-Paare nach LDAP-Verzeichnistyp geordnet aufgelistet:
      Tabelle 1. Objektklasse-Attribut-Paare für LDAP-Verzeichnisse
      LDAP Gruppenmitgliedsattribut-Objektklasse-Paar Aktives Gruppenmitgliedsattribut
      IBM Tivoli Directory Security Server 6.4

      Attribut: uniquemember

      Objektklasse: groupOfUniqueNames

      Verschachteltes Attribut: ibm-membershipGroup

      Verschachtelte Objektklasse: ibm-nestedGroup

      ibm-allGroups
      Active Directory 2012 R2 und 2016

      Attribut: member

      Objektklasse: group

      memberOf
      IBM Domino 8.5.3, 9.0.1

      Attribut: member

      Objektklasse: dominoGroup

      DominoAccessGroups
      Oracle Directory Server Enterprise 11.1.2

      Attribut: uniquemember

      Objektklasse: groupOfUniqueNames

      isMemberOf
      Novell eDirectory 8.8 SP8

      Attribut: member

      Objektklasse: groupOfNames

      groupMembership
    Anmerkung: Wählen Sie eine Bereichsoption auf der Basis des LDAP-Typs.
    • Wählen Sie Verschachtelt für IBM Tivoli Directory Security Server und IBM Domino-Verzeichnisse aus. Verschachtelt enthält nur unmittelbare Mitglieder der Gruppe ohne Mitglieder von Untergruppen.
    • Wählen Sie Direkt für Active Directory aus. Direkt enthält direkte Mitglieder und Mitglieder, die in Untergruppen dieser Gruppe verschachtelt sind.
    Weitere Informationen zum Verfügbarmachen von verschachtelten Gruppenmitgliedschaften finden Sie unter Locating user group memberships in a Lightweight Directory Access Protocol registry für IBM Directory Server und Domino und unter Authentication using Microsoft Active Directory für Active Directory.
  23. Optional: Die beste LDAP-Leistung wird im Allgemeinen durch Aktivieren der Option für Kontextpooling erzielt. Gehen Sie zum Aktivieren von Kontextpooling wie folgt vor:
    1. Klicken Sie unter Zusätzliche Eigenschaften auf den Link Leistung.
    2. Stellen Sie sicher, dass die Einstellung Verbindungspooling verwenden nicht ausgewählt ist.
    3. Wählen Sie die Option zum Aktivieren des Kontextpooling aus. Folgende Standardeinstellungen werden empfohlen: Anfangsgröße = 1, Bevorzugte Größe = 3 und Maximale Größe = 0.
  24. Wenn Sie mehrere LDAP-Verzeichnisse unterstützen möchten, wiederholen Sie die Schritte 6 bis 23 für jedes weitere LDAP-Verzeichnis.
  25. Legen Sie das neue Repository als aktuelles Repository fest:
    1. Klicken Sie in den Navigationslinks oben auf der Seite auf Globale Sicherheit.
    2. Wählen Sie die Option Eingebundene Repositorys aus dem Feld Verfügbare Realmdefinitionen aus und klicken Sie dann auf Als aktuelles Repository festlegen.
    3. Klicken Sie auf Übernehmen und dann auf Speichern.
  26. Aktivieren Sie die Sicherheit bei der Anmeldung auf WebSphere Application Server:
    1. Aktivieren Sie die Kontrollkästchen für die Verwaltungs- und die Anwendungssicherheit. Um die Leistung zu verbessern, wählen Sie das Kontrollkästchen Java-2-Sicherheit ab.
    2. Klicken Sie auf Übernehmen und dann auf Speichern.
    Aufgrund der aktivierten Sicherheit auf dem WebSphere Application Server müssen Sie jetzt den Benutzernamen und das Kennwort des Benutzers mit Administratorberechtigung eingeben.
  27. Navigieren Sie in der WebSphere Application Server Integrated Solutions Console zu Sicherheit > Globale Sicherheit > Web- und SIP-Sicherheit > Single sign-on (SSO). Geben Sie im Feld "Domänenname" den Domänennamen für die Connections-Umgebung ein, wie z. B. .example.ibm.com Weitere Informationen finden Sie unter Domänennamen für Single Sign-on festlegen.
  28. Um Single Sign-on (SSO) für IBM Connections zu aktivieren, bereiten Sie die WebSphere Application Server-Umgebung vor, indem Sie wie folgt vorgehen:
    1. Wählen Sie in WebSphere Application Server Integrated Solutions Console die Optionen für Sicherheit, globale Sicherheit, Web- und SIP-Sicherheit sowie Single Sign-on (SSO) aus > > > .
    2. Wählen Sie die Optionen Aktiviert, Interoperabilitätsmodus (optional) und Weitergabe der Sicherheitseinstellungen für eingehende Webanforderungen aus.
      Anmerkung: Sie müssen auf "Übernehmen" klicken, bevor Sie mit dem nächsten Schritt fortfahren.
    3. Kehren Sie zur Seite "Globale Sicherheit" zurück und klicken Sie auf die Option für Web- und SIP-Sicherheit. Klicken Sie anschließend auf Web- und SIP-Sicherheit > Allgemeine Einstellungen.
    4. Wählen Sie Verfügbare Authentifizierungsdaten für einen ungeschützten URI verwenden aus.
    5. Klicken Sie auf Übernehmen und dann auf Speichern.
    Anmerkung: Weitere Informationen zur SSO-Sicherheit finden Sie unter Single Sign-on konfigurieren.
  29. Erstellen Sie einen Administrator für WebSphere Application Server:
    1. Starten Sie den DM erneut und melden Sie sich nochmals daran an.
    2. Klicken Sie auf Benutzer und Gruppen > Rollen für Benutzer mit Administratorberechtigung und klicken Sie dann auf Hinzufügen.
    3. Wählen Sie im Rollenfeld Administrator aus und suchen Sie dann einen Benutzer.
    4. Wählen Sie den Zielbenutzer aus und klicken Sie auf den Pfeil, um den Benutzernamen in das Feld für die Rollenzuordnung zu verschieben.
    5. Klicken Sie auf OK und dann auf Speichern.
    6. Melden Sie sich vom DM ab.
    7. Starten Sie den DM und die Knoten erneut.
    8. Melden Sie sich mit den neuen Berechtigungsnachweisen des Administrators am DM an.
    Notes:
    • Stellen Sie sicher, dass diese Benutzer-ID keine Leerzeichen im Namen aufweist.
  30. Legen Sie wie folgt einen primären Benutzer mit Administratorberechtigung fest:
    1. Klicken Sie auf Sicherheit > Globale Sicherheit.
    2. Wählen Sie die Option Eingebundene Repositorys aus dem Feld Verfügbare Realmdefinitionen aus und klicken Sie dann auf Konfigurieren.
    3. Geben Sie den Benutzernamen, den Sie im vorherigen Schritt zugeordnet haben, im Feld Name des primären Benutzers mit Administratorberechtigung.
    4. Klicken Sie auf Übernehmen und dann auf Speichern.
  31. Melden Sie sich vom DM ab und starten Sie WebSphere Application Server erneut.
  32. Wenn WebSphere Application Server wieder ausgeführt wird, melden Sie sich mit dem Namen und Kennwort des primären Benutzers mit Administratorberechtigung bei Integrated Solutions Console an.
  33. Optional: Testen Sie die neue Konfiguration, indem Sie einige LDAP-Benutzer mit Administratorrollen zum WebSphere Application Server hinzufügen.
  34. Optional: Wenn Sie SSL für LDAP verwenden, fügen Sie ein Unterzeichnerzertifikat zum Truststore hinzu, indem Sie wie folgt vorgehen:
    1. Wählen Sie in WebSphere Application Server Integrated Solutions Console nacheinander die Optionen für SSL-Zertifikat und Schlüsselverwaltung, Schlüsselspeicher und Zertifikate, CellDefaultTrustStore und Unterzeichnerzertifikat aus. Wählen Sie anschließend die Option zum Abrufen vom Port aus > > > > .
    2. Geben Sie im Feld Host den DNS-Namen des LDAP-Verzeichnisses ein.
    3. Geben Sie den sicheren LDAP-Port (in der Regel 636) im Feld Port ein.
    4. Geben Sie im Feld Aliasname einen Aliasnamen, wie z. B. LDAPSSLCertificate, ein.
    5. Klicken Sie auf Übernehmen und dann auf Speichern.
  35. Optional: Überprüfen Sie wie folgt, ob Benutzer im LDAP-Verzeichnis erfolgreich zum Repository hinzugefügt wurden:
    1. Wählen Sie in WebSphere Application Server Integrated Solutions Console die Optionen für Benutzer und Gruppen und für Benutzer verwalten aus. >
    2. Geben Sie im Feld Suchen nach einen Benutzernamen ein, von dem Sie wissen, dass er sich im LDAP-Verzeichnis befindet, und klicken Sie auf Suchen. Ist die Suche erfolgreich, haben Sie zumindest teilweise bestätigen können, dass das Repository ordnungsgemäß konfiguriert wurde. Bei dieser Prüfung können jedoch nicht die Gruppen überprüft werden, zu denen ein Benutzer gehört.

      Sie Müssen eine im LDAP-Verzeichnis bekannte UID im Sucheingabefeld eingeben, wenn Sie das Standardfeld Suchen nach der Benutzer-ID belassen.

Ergebnisse

Nun haben Sie den WebSphere Application Server für die Verwendung eines eingebundenen Repositorys konfiguriert.