Microsoft Active Directory Catálogo Global

Um Catálogo Global é um Servidor Global de Catálogos. Um Catálogo Global mantém um conjunto completo de atributos para o domínio em que reside e um subconjunto de atributos para todos os objetos da Floresta Microsoft Active Directory . As duas funções primárias de um Catálogo Global dentro do Microsoft Active Directory são capacidade de logon e consultas do Microsoft Active Directory .

Um Catálogo Global em uma instalação do Microsoft Active Directory com o produto é um repositório único Lightweight Directory Access Protocol (LDAP) que contém um subconjunto de informações do usuário de todos os domínios da floresta. Essas informações incluem IDs de usuários, informações de autenticação e grupos, mas não todas as informações do grupo.

É possível usar o Catálogo Global em qualquer controlador de domínio na floresta, mesmo em subdomínios. O Catálogo Global é uma solução para a limitação do WebSphere® Application Server de um "registro único". Há limitações do Catálogo Global. Os usuários do controlador de domínio local contêm informações "memberOf" do grupo. Usuários de um controlador de domínio externo contêm informações limitadas de "memberOf" porque as informações do grupo global não são replicadas para todo controlador de domínio.

Grupos globais aninhados em grupos universais

Trata-se de uma estrutura típica de associação ao grupo e consiste nas características a seguir:
  • Os usuários são distribuídos por meio de controladores de domínio em uma floresta contendo vários controladores de domínio.
  • Os usuários são definidos em grupos globais dentro de seu próprio controlador de domínio local.
  • Um grupo universal contém os grupos globais, que reflete um papel Java™ Platform Enterprise Edition (Java EE) que mapeia para um conjunto de usuários espalmados através de vários controladores de domínio.

A figura a seguir ilustra grupos globais aninhados em grupos universais.

Figura 1. Grupos globais aninhados em grupos universais. Essa figura ilustra grupos globais aninhados em grupos universais.
Grupos globais aninhados em grupos universais
É um desafio desenvolver métodos de configuração do WebSphere Application Server para conseguir encontrar usuários e suas membras de grupo quando as informações são espalhadas através de vários controladores de domínio. Um método requer que o WebSphere Application Server siga os referenciais LDAP para encontrar o controlador de domínio inicial para cada usuário e que WebSphere Application Server executem consultas de grupo aninhado.
Evitar problemas: Esta abordagem não utiliza o Catálogo Global.

Outro método e a abordagem mais simples tem grupos universais que contêm usuários e usa um Catálogo Global que requer o uso de referenciais. A figura a seguir ilustra este método.

Figura 2. Localização de memberships de grupo. Essa figura ilustra o processo de localização de associações ao grupo.
Localizando associações ao grupo
Uma variação desse método é não utilizar grupos universais. É possível usar essa abordagem quando os grupos universais não estão disponíveis.
Evitar problemas: Esta abordagem não utiliza o Catálogo Global.
Você pode considerar usando o Microsoft Active Directory Global Catalog como o registro do WebSphere Application Server . Há três cenários. No entanto, os dois primeiros cenários demonstram como as falhas ocorrem.
  1. Se você configurar o WebSphere Application Server para usar o Global Catalog como seu registro LDAP e seguir referencias, então usuários individuais são visíveis em cada controlador de domínio. Como um usuário deve existir apenas uma vez no registro, todos os logins falharão.
  2. Se você configurar o WebSphere Application Server para usar o Global Catalog como seu registro LDAP e não seguir os referenciais e os usuários individuais estiverem dentro de grupos globais, então a adesão ao grupo é incompleta. Consulte a figura a seguir que ilustra essa limitação.
    Figura 3. Catálogo global (sem usar referrais). Uma ilustração de um Catálogo Global sem usar referenciais
    Catálogo global (sem usar referenciais)
  3. Ao configurar o WebSphere Application Server para usar o Global Catalog como seu registro LDAP, não siga referenciais e os usuários estão diretamente contidos dentro de grupos globais universais, então a adesão ao grupo é completa.
Evitar problemas: Ao selecionar qualquer um desses cenários, consulte informações apropriadas do Microsoft Active Directory para entender completamente quaisquer implicações que os cenários possam ter em seu planejamento de configuação.