LDAP 的動態群組及巢狀群組支援
動態和巢狀群組可簡化 WebSphere® Application Server 安全管理,並提高其有效性和彈性。
動態群組包含群組名稱及成員資格準則:
- 群組成員資格資訊與使用者物件上的資訊一樣最新。
- 不需要手動維護群組物件上的成員。
- 動態群組是設計成應用程式不需要目錄中的大量資訊,即可找出某人是否為群組的成員。
巢狀群組 可讓您建立階層式關係,以用來定義繼承的群組成員資格。 巢狀群組定義為子群組項目,其識別名稱 (DN) 由上層群組項目屬性參照。
只有在所有巢狀群組都共用相同的專用權時,才需要指派較大的上層群組。 將角色指派給單一上層群組可簡化執行時期權限表。
IBM Tivoli Directory Server 的動態群組及巢狀群組支援
當使用 IBM® Tivoli® Directory Server時, WebSphere Application Server 支援所有「輕量型目錄存取通訊協定 (LDAP)」動態及巢狀群組。 依預設,會利用 IBM Tivoli Directory Server中的新特性來啟用此功能。 IBM Tivoli Directory Server 使用 ibm-allGroups 正向參照群組屬性,它會自動計算所有群組成員資格,包括使用者的動態及遞迴成員資格。 安全會直接從使用者物件尋找使用者群組成員資格,而不是間接搜尋所有群組以符合群組成員。
如需相關資訊,請參閱 配置 IBM Tivoli Directory Server的動態及巢狀群組支援。
![[IBM i]](../images/ngibmi.svg)
當您建立群組時,請確定巢狀和動態群組成員資格運作正確。
SunONE 或 iPlanet Directory Server 的動態和巢狀群組支援
SunONE 或 iPlanet Directory Server 使用兩種分組機制:
- 群組
- 將其他項目命名為成員清單或成員過濾器的項目。
- 角色
- 將其他項目命名為成員清單或成員過濾器的項目。 在每一個角色成員上產生 nsrole 屬性,即可提供其他功能。
可用的角色有三種類型:
- 已過濾角色
- 視每一個項目中包含的屬性而定。 如果項目符合指定的「輕量型目錄存取通訊協定 (LDAP)」過濾器,則它們是成員。 此角色相當於動態群組。
- 巢狀角色
- 建立包含其他角色的角色。 此角色相當於巢狀群組。
- 受管理角色
- 明確地將角色指派給成員項目。 此角色相當於靜態群組。
如需相關資訊,請參閱 配置 SunONE 或 iPlanet Directory Server 的動態和巢狀群組支援 。