使用 wsadmin 配置联合存储库或独立 LDAP 注册表
您可使用 wsadmin 工具来配置联合存储库或独立 LDAP 注册表。
有关此任务
您可使用 AdminTask 命令 ldapsearch,通过使用以下步骤帮助配置联合存储库或独立 LDAP 注册表。
在修订包 8.5.5.19之前,应用程序服务器仅支持简单绑定认证,并且缺省情况下使用简单绑定认证。
应用程序服务器支持使用通用安全服务 API (GSSAPI) 进行简单绑定认证和 Kerberos 绑定认证。 缺省情况下,它使用简单绑定认证。
过程
样本 Jython 命令
以下样本 Jython 命令使用简单绑定认证:
--testquery.py ---------------
queryResult = AdminTask.ldapSearch ('-hostname
testldap.austin.ibm.com -port 389 -baseDN
DC=austinldap,DC=local
-bindDN CN=testuser,CN=Users,DC=austinldap,DC=local
-bindPassword Password123!@#$%^&*() -sslEnabled false
-searchFilter (&(sAMAccountName=wasadmin)(objectClass=person))
-searchLimit 50 -referral ignore')
print queryResult
--------------------------------
以下样本 Jython 命令使用 Kerberos GSSAPI 绑定认证。
要点: 不支持在节点级别低于修订包 8.5.5.19 的混合单元中进行 Kerberos GSSAPI 绑定认证。
--testquery.py ---------------
queryResult = AdminTask.ldapSearch ('-hostname
testldap.austin.ibm.com -port 389 -baseDN
DC=austinldap,DC=local
-bindAuthMechanism GSSAPI
-krb5Principal testuser
-krb5Keytab C:\\WAS_serv1\\krb5_sample.keytab
-krb5Config C:\\WAS_serv1\\krb5_sample.ini
-searchFilter (&(sAMAccountName=wasadmin)(objectClass=person))
-searchLimit 50 -referral ignore')
print queryResult
--------------------------------
要运行此 Jython 命令,可以使用以下 wsadmin 命令。
wsadmin -conntype NONE -lang jython -f showBluePage.py
以下参数是必需的:
- 主机名
- 指定 LDAP 服务器主机名。 此主机名是 IP 地址或域名服务(DNS)名。
- baseDN
- 指定目录服务的基本专有名称,此名称指示目录服务中的 LDAP 搜索操作的起始点。 例如,
ou=Rochester, o=IBM, c=us
。 - sslEnabled
- 指定是否通过轻量级目录访问协议 (LDAP) 服务器来启用安全套接字通信。 如果选择了此选项,并且指定了 LDAP 安全套接字层 (SSL) 设置,就会使用那些设置。
- searchFilter
- 指定过滤器以执行
ldapsearch
。
下列参数为可选参数:
- bindDN
- 指定应用程序服务器的专有名称。 应用程序服务器使用绑定专有名称来绑定到目录服务。 此参数用于简单绑定认证。
- bindPassword
- 指定应用程序服务器的密码。 应用程序服务器使用密码来绑定到目录服务。 此参数用于简单绑定认证。
- bindAuth机制
- 指定 Kerberos 绑定认证通用安全服务 API (GSSAPI) 用于向 LDAP 目录服务认证应用程序服务器。 指定此参数以使用 GSSAPI 开启 Kerberos 绑定认证。
- krb5Principal
- 指定用于向密钥分发中心 (KDC) 认证的 Kerberos 主体名称或 Kerberos 服务主体名称。
此参数对于使用 GSSAPI 的 Kerberos 绑定认证是必需的。
- krb5TicketCache
- 指定存储 Kerberos 主体名称或 Kerberos 服务主体名称的 Kerberos 凭证的文件位置。 此文件称为 Kerberos 凭单高速缓存,也称为 Kerberos 凭证高速缓存或 ccache。 如果同时指定了 Kerberosticket 高速缓存和 Kerberos 密钥表文件,那么仅使用 Kerberos 凭证高速缓存。 如果未指定 Kerberos 凭证高速缓存或未指定 Kerberos 密钥表文件,那么应用程序服务器将在缺省系统位置使用缺省密钥表文件。
对于使用 GSSAPI 的 Kerberos 绑定认证,此参数是可选的。
- krb5Config
- 指定 Kerberos 配置文件名及其完整路径。 Kerberos 配置文件包含客户机配置信息,包括相关领域的每个密钥分发中心 (KDC) 的位置。 如果未指定 Kerberos 配置文件,那么应用程序服务器将使用缺省系统位置的配置文件。 以下信息提供了 Kerberos 配置文件的缺省文件名和位置:
- /etc/krb5.conf
- C:\Windows\krb5.ini
对于使用 GSSAPI 的 Kerberos 绑定认证,此参数是可选的。
- krb5Keytab
- 指定 Kerberos 密钥表文件名及其完整路径。 Kerberos 密钥表文件包含类似用户密码的密钥的列表。 如果同时指定了 Kerberos 凭证高速缓存和 Kerberos 密钥表文件,那么仅使用 Kerberos 凭证高速缓存。 如果未指定 Kerberos 凭证高速缓存或未指定 Kerberos 密钥表文件,那么应用程序服务器将在缺省系统位置使用缺省密钥表文件。
对于使用 GSSAPI 的 Kerberos 绑定认证,此参数是可选的。
- 端口
- 指定 LDAP 服务器端口号。 缺省值为 389。
- sslAlias
- 指定用于 LDAP 的 SSL 配置。
- searchLimit
- 指定要显示的搜索结果数。 缺省值为 20。 最大值为 100。
- 推荐
- 指定 Context.REFERRAL = "java.naming.referral" 参数。 有效值为
ignore
、follow
和throw
。ignore
是缺省值。 - searchScope
- 指定搜索范围。 有效值为
sub
、one
和base
。sub
是缺省值。 - 详细
- true 或 false。