独立 LDAP 注册表设置

当用户和组在外部 LDAP 目录中时,使用此页面来配置轻量级目录访问协议 (LDAP) 设置。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击 安全性 > 全局安全性
  2. 在 "用户帐户存储库" 下,单击 Available realm definitions 下拉列表,选择 Standalone LDAP registry,然后单击 Configure

启用安全性并且这些属性中的任何属性发生更改时,请转至 "全局安全性" 面板并单击 Apply 以验证这些更改。

WebSphere® Application Server Version 7.0 区分管理环境的管理员的用户身份和用于认证服务器到服务器通信的服务器身份。 在大多数情况下,服务器身份是自动生成的,不会存储在存储库中。

[AIX Solaris HP-UX Linux Windows]但是,如果要将先前版本的节点添加到最新版本的单元并且先前版本的节点使用了服务器标识和密码,那么必须确保在此单元的存储库中定义了先前版本的服务器标识和密码。 可以在此面板上输入服务器用户标识和密码。

[z/OS]避免故障: 与系统授权工具 (SAF) 相关的任何设置在此面板上都可能不可见。 要修改这些设置:
  1. 通过单击 安全 > 全局安全性 > 外部授权提供程序转至 SAF 的面板。
  2. 从“授权提供程序”选项下的下拉列表中选择系统授权工具 (SAF)
  3. 单击配置
注: 初始概要文件创建将 WebSphere Application Server 配置为将联合存储库安全注册表选项与基于文件的注册表配合使用。 可将此安全注册表配置更改为使用其他选项,包括独立 LDAP 注册表。 请考虑使用提供 LDAP 配置的联合存储库选项,而不是从联合存储库选项更改为用户帐户存储库配置下的独立 LDAP 注册表选项。 联合存储库提供了方方面面的功能,包括具有一个或多个用户注册表的能力。 它除了支持基于文件的注册表和定制注册表以外,还支持联合一个或多个 LDAP。 它还具有改进过的故障转移能力以及一整套功能强大的成员(用户和组)管理功能。 在 WebSphere Portal 6.1 和更高版本以及 Process Server 6.1 和更高版本中使用新的成员管理功能时,需要联合存储库。 以下 LDAP 引荐需要使用联合存储库,这是某些 LDAP 服务器环境 (例如 Microsoft Active Directory) 中的常见需求。

建议您从独立 LDAP 注册表迁移至联合存储库。 如果您移至 WebSphere Portal 6.1 和更高版本,或者移至 WebSphere Process Server 6.1 和更高版本,那么应在这些升级之前迁移到联合存储库。 有关联合存储库及其功能的更多信息,请参阅联合存储库主题。 有关如何迁移至联合存储库的更多信息,请参阅“从独立 LDAP 存储库迁移至联合存储库 LDAP 存储库配置”主题。

主要管理用户名

指定用户注册表中定义的拥有管理特权的用户的名称。

启用管理安全性后,该用户名用来登录到管理控制台。 V6.1 和更高版本需要不同于服务器用户身份的管理用户,以便可以审核管理操作。
注意: 在 WebSphere Application ServerV 6.x中,管理访问和内部进程通信都需要单个用户身份。 迁移至 V8.x 时,此身份将用作服务器用户身份。 您需要对管理用户标识指定另一用户。
[z/OS]注: 当您将 LDAP 配置为用户注册表并启用 SAF 时,如果属性 com.ibm.security.SAF.authorization设置为 true,那么管理控制台上不会显示 "主管理用户名" 字段。

自动生成的服务器标识

使应用程序服务器能够生成建议用于仅包含 V6.1 或更高版本节点的环境的服务器标识。 自动生成的服务器标识不会存储在用户资源库中。

选择此字段或 存储在存储库中的服务器身份 字段。 一次只能选择两个字段中的一个。

信息
缺省值: 已启用
[AIX Solaris HP-UX Linux Windows][IBM i]

存储在存储库中的服务器标识

指定存储库中用于进行内部进程通信的用户标识。

选择此字段或 自动生成的服务器身份 字段。 一次只能选择两个字段中的一个。

信息
缺省值:
[AIX Solaris HP-UX Linux Windows]

V6.0.x 节点上的服务器用户标识或管理用户

为了安全起见,请指定用于运行应用程序服务器的用户标识。

[AIX Solaris HP-UX Linux Windows]

密码

指定与服务器标识相对应的密码。

LDAP 服务器的类型

指定要连接的 LDAP 服务器的类型。

[AIX Solaris HP-UX Linux Windows][IBM i]IBM® SecureWay Directory Server 不受支持。

[z/OS]IBM SecureWay Directory Server 受 z/OS® 应用程序服务器以及许多其他 LDAP 服务器支持。

主机

指定 LDAP 服务器的主机标识(IP 地址或域名服务(DNS)名称)。

端口

指定 LDAP 服务器的主机端口。

如果已安装多个应用程序服务器并将它们配置成在同一个单点登录域中运行,或者应用程序服务器将与前一个版本的应用程序服务器进行互操作,那么将端口号与所有配置相匹配十分重要。 例如,如果在 V 6.1 和更高版本的配置中显式指定 LDAP 端口为 389 ,并且 V 8.x 的 WebSphere Application Server 将与 V 6.1 和更高版本的服务器进行互操作,请验证是否为 V 8.x 服务器显式指定了端口 389
信息
缺省值: 389
类型: 整型

基本专有名称 (DN)

指定目录服务的基本专有名称 (DN),此名称指示目录服务的 LDAP 搜索操作的起始点。 在大多数情况下,都需要绑定 DN 和绑定密码。 但是,如果匿名绑定能够满足所有必需功能,就不需要绑定 DN 和绑定密码。

例如,对于 DN 为 cn=John Doe , ou=Rochester, o=IBM, c=US 的用户,将基本 DN 指定为下列任何一个选项:ou=Rochester, o=IBM, c=USo=IBM c=USc=US。 为了进行授权,此字段区分大小写。 该规范意味着,如果从其他单元或Lotus Domino 等接收到令牌,服务器中的基本 DN 必须与其他单元或Lotus Domino服务器中的基本 DN 完全匹配。 如果授权时不考虑区分大小写,那么启用授权时忽略大小写选项。 除Lotus Domino目录、IBM Tivoli® Directory Server V6.0 和 NovelleDirectory,外,所有轻量级目录访问协议 (LDAP) 目录都需要此选项,在其他目录中,此字段为可选项。

绑定认证机制

指定应用程序服务器用于绑定到 LDAP 目录服务的绑定认证机制。

在修订包 9.0.5.7之前,仅支持简单绑定认证。

支持使用通用安全服务 API (GSSAPI) 的 [9.0.5.7 或更高版本] Kerberos 绑定认证和简单绑定认证。

简单绑定认证

缺省情况下,应用程序服务器使用简单绑定认证。
绑定专有名称 (DN)
指定应用程序服务器在绑定到 LDAP 目录服务时要使用的专有名称。 如果未指定名称,应用程序服务器就会以匿名方式绑定。 以下示例适用于专有名称:
ou=Rochester, o=IBM, c=US
绑定密码
指定应用程序服务器在绑定到 LDAP 目录服务时要使用的密码。
[9.0.5.7 或更高版本]

使用 GSSAPI 的 Kerberos 绑定认证

要将 Kerberos 绑定认证与 GSSAPI 配合使用,请指定 Kerberos 主体名称或 Kerberos 服务主体名称。 其他字段是可选的。
Kerberos 主体名称
指定应用程序服务器用于向密钥分发中心 (KDC) 认证的 Kerberos 主体名称或 Kerberos 服务主体名称。
可选: Kerberos 凭证高速缓存 (Kerberos 凭单高速缓存)

指定存储 Kerberos 主体名称或 Kerberos 服务主体名称的 Kerberos 凭证的文件位置。 此文件也称为 Kerberos 凭单高速缓存或 ccache

如果同时指定了 Kerberos 凭单高速缓存和 Kerberos 密钥表,那么仅使用 Kerberos 凭单高速缓存。 如果未指定 Kerberos 凭单高速缓存和 Kerberos 密钥表文件,那么应用程序服务器将使用位于缺省系统位置的缺省密钥表文件。

可选: Kerberos 配置
指定 Kerberos 配置文件名及其完整路径。 或者,单击 浏览 以找到它。 Kerberos 配置文件包含客户机配置信息,包括相关领域的每个密钥分发中心 (KDC) 的位置。 以下信息提供了 Kerberos 配置文件的缺省文件名和位置:
  • [Linux][AIX][z/OS][HP-UX][IBM i][Solaris]/etc/krb5.conf
  • [Windows]C:\Windows\krb5.ini
如果未指定 Kerberos 配置文件,那么应用程序服务器将在其缺省系统位置使用此缺省 Kerberos 配置文件。 Kerberos 配置文件是所有 Kerberos 配置的全局配置文件,包括简单且受保护的 GSS-API 协商机制 (SPNEGO) 和 Kerberos 认证。 有关更多信息,请参阅有关 Kerberos 配置文件的主题。
可选: Kerberos 密钥表

指定 Kerberos 密钥表文件名及其完整路径。 Kerberos 密钥表文件包含一个或多个 Kerberos 主体或服务主体名称以及类似于用户密码的密钥列表。 Kerberos 密钥表文件是所有 Kerberos 配置 (包括 SPNEGO 和 Kerberos 认证) 的全局密钥表文件。 通过将 Kerberos 密钥表文件存储在本地磁盘上,使其仅可供授权用户读取,从而保护这些文件。 缺省密钥表文件名为 krb5.keytab

如果同时指定了 Kerberos 凭单高速缓存和 Kerberos 密钥表,那么仅使用 Kerberos 凭单高速缓存。 如果未指定 Kerberos 凭单高速缓存和 Kerberos 密钥表文件,那么应用程序服务器将使用位于缺省系统位置的缺省密钥表文件。

重要信息: 不支持在节点级别低于修订包 9.0.5.7 的混合单元中进行 Kerberos 绑定认证。

搜索超时

指定轻量级目录访问协议 (LDAP) 服务器在停止请求前要响应的超时值(以秒计)。

信息
缺省值: 120

复用连接

指定服务器是否复用 LDAP 连接。 只应该在下面这种罕见情况下清除此选项:使用路由器来将请求分发到多个 LDAP 服务器,而该路由器不支持亲缘关系。

信息
缺省值: 已启用
范围: 已启用或已禁用
要点: 禁用 复用连接 选项会导致应用程序服务器为每个 LDAP 搜索请求创建新的 LDAP 连接。 如果环境需要执行大量的 LDAP 调用,那么这种情况将影响系统性能。 如果路由器未将请求发送至同一 LDAP 服务器,那么应该使用此选项。 当应用程序服务器与 LDAP 之间的空闲连接超时值或防火墙超时值太小时,也使用此选项。

如果使用 WebSphere Edge Server 进行 LDAP 故障转移,那么必须使用 Edge 服务器启用 TCP 重置。 TCP 复位会导致连接立即被关闭并且备份服务器执行故障转移。

授权时忽略大小写

指定使用缺省授权时执行不区分大小写的授权检查。

当选择 IBM Tivoli Directory Server 作为 LDAP 目录服务器时,此选项是必需的。

当选择 Sun ONE Directory Server 作为 LDAP 目录服务器时,此选项是必需的。 有关更多信息,请参阅文档中的 将特定目录服务器用作 LDAP 服务器

当需要执行区分大小写的授权检查时,此选项是可选的,并且可以启用它。 例如,当证书和证书内容与 LDAP 服务器中使用的条目大小写不匹配时,可以使用此选项。 在应用程序服务器与 Lotus Domino之间使用单点登录 (SSO) 时,可以启用 授权时忽略大小写 选项。

信息
缺省值: 已启用
范围: 已启用或已禁用

启用 SSL

指定是否对轻量级目录访问协议 (LDAP) 服务器启用安全套接字通信。

启用此选项后,如果已指定 LDAP 安全套接字层 (SSL) 设置,就会使用那些设置。

集中管理

指定 SSL 配置的选择基于 Java™ 命名和目录接口 (JNDI) 平台的出站拓扑视图。

集中管理的配置支持在一个位置维护 SSL 配置,而不是将这些配置分布到许多配置文档中。

信息
缺省值: 已启用