使用 wsadmin 配置联合存储库或独立 LDAP 注册表
您可使用 wsadmin 工具来配置联合存储库或独立 LDAP 注册表。
有关此任务
您可使用 AdminTask 命令 ldapsearch,通过使用以下步骤帮助配置联合存储库或独立 LDAP 注册表。
在修订包 8.5.5.19之前,应用程序服务器仅支持简单绑定认证,并且缺省情况下使用简单绑定认证。
![[8.5.5.19 或更高版本]](../images/ng_v85519.svg)
应用程序服务器支持使用通用安全服务 API (GSSAPI) 进行简单绑定认证和 Kerberos 绑定认证。 缺省情况下,它使用简单绑定认证。
过程
样本 Jython 命令
以下样本 Jython 命令使用 Kerberos GSSAPI 绑定认证。
以下样本 Jython 命令使用简单绑定认证:
--testquery.py ---------------
queryResult = AdminTask.ldapSearch ('-hostname
testldap.austin.ibm.com -port 389 -baseDN
DC=austinldap,DC=local
-bindDN CN=testuser,CN=Users,DC=austinldap,DC=local
-bindPassword Password123!@#$%^&*() -sslEnabled false
-searchFilter (&(sAMAccountName=wasadmin)(objectClass=person))
-searchLimit 50 -referral ignore')
print queryResult
--------------------------------要点: 不支持在节点级别低于修订包 8.5.5.19 的混合单元中进行 Kerberos GSSAPI 绑定认证。
--testquery.py ---------------
queryResult = AdminTask.ldapSearch ('-hostname
testldap.austin.ibm.com -port 389 -baseDN
DC=austinldap,DC=local
-bindAuthMechanism GSSAPI
-krb5Principal testuser
-krb5Keytab C:\\WAS_serv1\\krb5_sample.keytab
-krb5Config C:\\WAS_serv1\\krb5_sample.ini
-searchFilter (&(sAMAccountName=wasadmin)(objectClass=person))
-searchLimit 50 -referral ignore')
print queryResult
--------------------------------
要运行此 Jython 命令,可以使用以下 wsadmin 命令。
wsadmin -conntype NONE -lang jython -f showBluePage.py以下参数是必需的:
- 主机名
- 指定 LDAP 服务器主机名。 此主机名是 IP 地址或域名服务(DNS)名。
- baseDN
- 指定目录服务的基本专有名称,此名称指示目录服务中的 LDAP 搜索操作的起始点。 例如,
ou=Rochester, o=IBM, c=us。 - sslEnabled
- 指定是否通过轻量级目录访问协议 (LDAP) 服务器来启用安全套接字通信。 如果选择了此选项,并且指定了 LDAP 安全套接字层 (SSL) 设置,就会使用那些设置。
- searchFilter
- 指定过滤器以执行
ldapsearch。
下列参数为可选参数:
- bindDN
- 指定应用程序服务器的专有名称。 应用程序服务器使用绑定专有名称来绑定到目录服务。 此参数用于简单绑定认证。
- bindPassword
- 指定应用程序服务器的密码。 应用程序服务器使用密码来绑定到目录服务。 此参数用于简单绑定认证。
- bindAuth机制
- 指定 Kerberos 绑定认证通用安全服务 API (GSSAPI) 用于向 LDAP 目录服务认证应用程序服务器。 指定此参数以使用 GSSAPI 开启 Kerberos 绑定认证。
- krb5Principal
- 指定用于向密钥分发中心 (KDC) 认证的 Kerberos 主体名称或 Kerberos 服务主体名称。
此参数对于使用 GSSAPI 的 Kerberos 绑定认证是必需的。
- krb5TicketCache
- 指定存储 Kerberos 主体名称或 Kerberos 服务主体名称的 Kerberos 凭证的文件位置。 此文件称为 Kerberos 凭单高速缓存,也称为 Kerberos 凭证高速缓存或 ccache。 如果同时指定了 Kerberosticket 高速缓存和 Kerberos 密钥表文件,那么仅使用 Kerberos 凭证高速缓存。 如果未指定 Kerberos 凭证高速缓存或未指定 Kerberos 密钥表文件,那么应用程序服务器将在缺省系统位置使用缺省密钥表文件。
对于使用 GSSAPI 的 Kerberos 绑定认证,此参数是可选的。
- krb5Config
- 指定 Kerberos 配置文件名及其完整路径。 Kerberos 配置文件包含客户机配置信息,包括相关领域的每个密钥分发中心 (KDC) 的位置。 如果未指定 Kerberos 配置文件,那么应用程序服务器将使用缺省系统位置的配置文件。 以下信息提供了 Kerberos 配置文件的缺省文件名和位置:
![[Linux]](../images/nglinux.svg)
![[AIX]](../images/ngaix.svg)
![[z/OS]](../images/ngzos.svg)
![[HP-UX]](../images/nghpux.svg)
![[IBM i]](../images/ngibmi.svg)
![[Solaris]](../images/ngsolaris.svg)
/etc/krb5.conf![[Windows]](../images/ngwin.svg)
C:\Windows\krb5.ini
对于使用 GSSAPI 的 Kerberos 绑定认证,此参数是可选的。
- krb5Keytab
- 指定 Kerberos 密钥表文件名及其完整路径。 Kerberos 密钥表文件包含类似用户密码的密钥的列表。 如果同时指定了 Kerberos 凭证高速缓存和 Kerberos 密钥表文件,那么仅使用 Kerberos 凭证高速缓存。 如果未指定 Kerberos 凭证高速缓存或未指定 Kerberos 密钥表文件,那么应用程序服务器将在缺省系统位置使用缺省密钥表文件。
对于使用 GSSAPI 的 Kerberos 绑定认证,此参数是可选的。
- 端口
- 指定 LDAP 服务器端口号。 缺省值为 389。
- sslAlias
- 指定用于 LDAP 的 SSL 配置。
- searchLimit
- 指定要显示的搜索结果数。 缺省值为 20。 最大值为 100。
- 推荐
- 指定 Context.REFERRAL = "java.naming.referral" 参数。 有效值为
ignore、follow和throw。ignore是缺省值。 - searchScope
- 指定搜索范围。 有效值为
sub、one和base。sub是缺省值。 - 详细
- true 或 false。