独立 LDAP 注册表设置

当用户和组在外部 LDAP 目录中时,使用此页面来配置轻量级目录访问协议 (LDAP) 设置。

要查看此管理控制台页面,请完成下列步骤:
  1. 点击安全>全球安全
  2. 在用户帐户存储库下,单击Available realm definitions下拉列表中,选择Standalone LDAP registry,然后点击Configure

当启用安全性并且任何这些属性发生更改时,转到全局安全面板并单击Apply验证更改。

WebSphere® Application Server版本7.0区分管理环境的管理员的用户身份和用于验证服务器到服务器通信的服务器身份。 在大多数情况下,服务器身份是自动生成的,不会存储在存储库中。

[AIX Solaris HP-UX Linux Windows]但是,如果要将先前版本的节点添加到最新版本的单元并且先前版本的节点使用了服务器标识和密码,那么必须确保在此单元的存储库中定义了先前版本的服务器标识和密码。 可以在此面板上输入服务器用户标识和密码。

[z/OS]笔记:与系统授权工具 (SAF) 相关的任何设置可能都不会显示在此面板上。 要修改这些设置:
  1. 点击进入 SAF 面板安全>全球安全>外部授权提供商
  2. 从“授权提供程序”选项下的下拉列表中选择系统授权工具 (SAF)
  3. 单击配置
笔记:初始配置文件创建配置WebSphere Application Server将联合存储库安全注册表选项与基于文件的注册表结合使用。 可将此安全注册表配置更改为使用其他选项,包括独立 LDAP 注册表。 请考虑使用提供 LDAP 配置的联合存储库选项,而不是从联合存储库选项更改为用户帐户存储库配置下的独立 LDAP 注册表选项。 联合存储库提供了方方面面的功能,包括具有一个或多个用户注册表的能力。 它除了支持基于文件的注册表和定制注册表以外,还支持联合一个或多个 LDAP。 它还具有改进过的故障转移能力以及一整套功能强大的成员(用户和组)管理功能。 当您使用新的成员管理功能时,需要联合存储库WebSphere Portal6.1后来,Process Server6.1然后。 遵循 LDAP 引用需要使用联合存储库,这是某些 LDAP 服务器环境(如 MicrosoftActive Directory)。

建议您从独立 LDAP 注册表迁移至联合存储库。 如果你搬到WebSphere Portal6.1以及之后,或者WebSphere Process Server6.1然后,您应该在进行这些升级之前迁移到联合存储库。 有关联合存储库及其功能的更多信息,请参阅联合存储库主题。 有关如何迁移至联合存储库的更多信息,请参阅“从独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置”主题。

主要管理用户名

指定用户注册表中定义的拥有管理特权的用户的名称。

启用管理安全性后,该用户名用来登录到管理控制台。 V6.1 和更高版本需要不同于服务器用户身份的管理用户,以便可以审核管理操作。
注意力:在WebSphere Application Server, 版本6.x ,管理访问和内部流程通信都需要单一用户身份。 迁移至 V8.x 时,此身份将用作服务器用户身份。 您需要对管理用户标识指定另一用户。
[z/OS]笔记:当您将 LDAP 配置为用户注册表并且启用了 SAF 时,如果属性com.ibm.security.SAF.authorization, 被设定为真的,则管理控制台上不会显示主管理用户名字段。

自动生成的服务器标识

使应用程序服务器能够生成建议用于仅包含 V6.1 或更高版本节点的环境的服务器标识。 自动生成的服务器标识不会存储在用户资源库中。

选择此字段或存储在存储库中的服务器身份场地。 每次只能选择两个字段中的一个。

信息
缺省值: 已启用
[AIX Solaris HP-UX Linux Windows][IBM i]

存储在存储库中的服务器标识

指定存储库中用于进行内部进程通信的用户标识。

选择此字段或自动生成的服务器身份场地。 每次只能选择两个字段中的一个。

信息
缺省值:
[AIX Solaris HP-UX Linux Windows]

V6.0.x 节点上的服务器用户标识或管理用户

为了安全起见,请指定用于运行应用程序服务器的用户标识。

[AIX Solaris HP-UX Linux Windows]

密码

指定与服务器标识相对应的密码。

LDAP 服务器的类型

指定要连接的 LDAP 服务器的类型。

[AIX Solaris HP-UX Linux Windows][IBM i]IBM®SecureWay不支持目录服务器。

[z/OS]IBMSecureWayDirectory Server 由应用程序服务器支持z/OS®以及许多其他 LDAP 服务器。

主机

指定 LDAP 服务器的主机标识(IP 地址或域名服务(DNS)名称)。

端口

指定 LDAP 服务器的主机端口。

如果已安装多个应用程序服务器并将它们配置成在同一个单点登录域中运行,或者应用程序服务器将与前一个版本的应用程序服务器进行互操作,那么将端口号与所有配置相匹配十分重要。 例如,如果 LDAP 端口明确指定为389在一个版本中6.1以及后续的配置,以及WebSphere Application Server版本8.x将与版本互操作6.1以及稍后的服务器,验证该端口389明确指定版本8.x服务器。
信息
缺省值: 389
类型: 整型

基本专有名称 (DN)

指定目录服务的基本专有名称 (DN),此名称指示目录服务的 LDAP 搜索操作的起始点。 在大多数情况下,都需要绑定 DN 和绑定密码。 但是,如果匿名绑定能够满足所有必需功能,就不需要绑定 DN 和绑定密码。

例如,对于 DN 为cn=John Doe,ou=Rochester,o=IBM,c=US,将基本 DN 指定为以下任一选项:ou=Rochester,o=IBM,c=USo=IBM c=USc=US. 出于授权目的,此字段区分大小写。 该规范意味着,如果从其他单元或 Lotus Domino 收到令牌,则服务器中的基本DN必须与来自其他单元或 Lotus Domino基本DN完全匹配。 如果授权时不考虑区分大小写,那么启用授权时忽略大小写选项。 此选项对于所有轻量级目录访问协议 (LDAP) 目录都是必需的,但Lotus Domino目录, IBM Tivoli® Directory ServerV6.0和 NovelleDirectory,其中,此字段是可选的。

绑定认证机制

指定应用程序服务器使用哪种绑定身份验证机制来绑定到 LDAP 目录服务。

修复包之前8.5.5.19 ,仅支持简单绑定认证。

[8.5.5.19 或更高版本]Kerberos支持使用通用安全服务 API(GSSAPI)的绑定身份验证和简单绑定身份验证。

简单绑定身份验证

应用服务器默认使用简单绑定身份验证。
绑定专有名称 (DN)
指定应用程序服务器绑定到 LDAP 目录服务时使用的可分辨名称。 如果未指定名称,应用程序服务器就会以匿名方式绑定。 以下示例用于标识名称:
ou=Rochester, o=IBM, c=US
绑定密码
指定应用程序服务器绑定到 LDAP 目录服务时使用的密码。
[8.5.5.19 或更高版本]

Kerberos使用 GSSAPI 绑定身份验证

要使用Kerberos将身份验证与 GSSAPI 绑定,指定Kerberos校长姓名或Kerberos服务主体名称。 其他字段是可选的。
Kerberos 主体名称
指定Kerberos校长姓名或Kerberos应用程序服务器用于向密钥分发中心 (KDC) 进行身份验证的服务主体名称。
选修的:Kerberos凭证缓存(Kerberos票证缓存)

指定文件位置Kerberos凭证Kerberos校长姓名或Kerberos存储服务主体名称。 该文件也称为Kerberos票证缓存,或缓存

如果Kerberos票证缓存和Kerberoskeytab 都已指定,只有Kerberos使用票证缓存。 如果Kerberos票证缓存和Kerberos如果未指定 keytab 文件,则应用程序服务器使用位于默认系统位置的默认 keytab 文件。

选修的:Kerberos配置
指定Kerberos配置文件名及其完整路径。 或者,单击浏览来找到它。 这Kerberos配置文件包含客户端配置信息,包括相关领域的每个密钥分发中心 (KDC) 的位置。 以下信息提供了Kerberos配置文件:
  • [Linux][AIX][z/OS][HP-UX][IBM i][Solaris]/etc/krb5.conf
  • [Windows]C:\Windows\krb5.ini
如果不Kerberos指定配置文件时,应用服务器使用此默认Kerberos配置文件位于其默认系统位置。 这Kerberos配置文件对所有人来说都是全局的Kerberos配置,包括简单且受保护的 GSS-API 协商机制 (SPNEGO) 和Kerberos验证。 有关详细信息,请参阅有关Kerberos配置文件。
选修的:Kerberos密钥表

指定Kerberoskeytab 文件名及其完整路径。 这Kerberoskeytab 文件包含一个或多个Kerberos主体或服务主体名称以及类似于用户密码的密钥列表。 这Kerberoskeytab 文件对所有人来说都是全局的Kerberos配置,包括 SPNEGO 和Kerberos验证。 保护Kerberoskeytab 文件存储在本地磁盘上,以使只有授权用户才能读取。 默认的 keytab 文件名是krb5.keytab

如果Kerberos票证缓存和Kerberoskeytab 都已指定,只有Kerberos使用票证缓存。 如果Kerberos票证缓存和Kerberos如果未指定 keytab 文件,则应用程序服务器使用位于默认系统位置的默认 keytab 文件。

重要的:Kerberos在混合单元中绑定身份验证,节点级别早于修复包8.5.5.19不受支持。

搜索超时

指定轻量级目录访问协议 (LDAP) 服务器在停止请求前要响应的超时值(以秒计)。

信息
缺省值: 120

复用连接

指定服务器是否复用 LDAP 连接。 只应该在下面这种罕见情况下清除此选项:使用路由器来将请求分发到多个 LDAP 服务器,而该路由器不支持亲缘关系。

信息
缺省值: 已启用
范围: 已启用或已禁用
重要的:禁用重用连接该选项会导致应用程序服务器为每个 LDAP 搜索请求创建一个新的 LDAP 连接。 如果环境需要执行大量的 LDAP 调用,那么这种情况将影响系统性能。 如果路由器未将请求发送至同一 LDAP 服务器,那么应该使用此选项。 当应用程序服务器与 LDAP 之间的空闲连接超时值或防火墙超时值太小时,也使用此选项。

如果你正在使用WebSphere Edge Server对于 LDAP 故障转移,您必须使用 Edge 服务器启用 TCP 重置。 TCP 复位会导致连接立即被关闭并且备份服务器执行故障转移。

授权时忽略大小写

指定使用缺省授权时执行不区分大小写的授权检查。

以下情况需要此选项IBM Tivoli Directory Server被选为 LDAP 目录服务器。

当选择 Sun ONE Directory Server 作为 LDAP 目录服务器时,此选项是必需的。 请参阅文档中有关使用特定目录服务器作为 LDAP 服务器的信息。

当需要执行区分大小写的授权检查时,此选项是可选的,并且可以启用它。 例如,当证书和证书内容与 LDAP 服务器中使用的条目大小写不匹配时,可以使用此选项。 您可以启用授权时忽略大小写在应用程序服务器和Lotus Domino 。

信息
缺省值: 已启用
范围: 已启用或已禁用

启用 SSL

指定是否对轻量级目录访问协议 (LDAP) 服务器启用安全套接字通信。

启用此选项后,如果已指定 LDAP 安全套接字层 (SSL) 设置,就会使用那些设置。

集中管理

指定 SSL 配置的选择基于 Java™ 命名和目录接口 (JNDI) 平台的出站拓扑视图。

集中管理的配置支持在一个位置维护 SSL 配置,而不是将这些配置分布到许多配置文档中。

信息
缺省值: 已启用