使用特定目录服务器作为 LDAP 服务器
提供了有关 WebSphere® Application Server 中支持作为轻量级目录访问协议 (LDAP) 服务器的目录服务器的重要信息。
准备工作
有关此任务
其他 LDAP 服务器最好遵循 LDAP 规范。 仅支持这些特定的目录服务器。 可以通过使用列表中的定制目录类型并填写该目录所需的过滤器来使用任何其他目录服务器。
为了提高 LDAP 搜索的性能,定义了 IBM® Tivoli® Directory Server, Sun ONE 和 Active Directory 的缺省过滤器,以便在搜索用户时,结果包含有关该用户的所有相关信息 (用户标识,组等)。 因此,产品不会多次调用 LDAP 服务器。 此定义只有在这些目录类型中才是有可能的,这些目录类型支持获取完整用户信息的搜索。
如果使用 IBM Directory Server ,请选择 授权时忽略大小写 选项。 由于从用户对象属性获取组信息时获得的大小写与直接获取组信息时获得的大小写不同,所以必须选择此选项。 要使授权在这种情况下起作用,请执行不区分大小写的检查并验证授权时忽略大小写选项的要求。
![[z/OS]](../images/ngzos.svg)
使用 DB2® 技术数据库管理 (TDBM) 后端时,支持针对 z/OS® 平台的 LDAP 安全服务器。 使用 SecureWay Directory Server 过滤器来连接到 z/OS 平台的 LDAP 安全服务器。
![[IBM i]](../images/ngibmi.svg)
使用目录服务作为 LDAP 服务器对包含其他组或嵌套组的组的支持取决于 WebSphere Application Server 和 LDAP 的特定版本。 有关更多信息,请参阅 LDAP 的动态组和嵌套组支持。
- 使用 IBM Tivoli Directory Server 作为 LDAP 服务器
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
要使用 IBM Tivoli Directory Server(以前称为 IBM Directory Server) ,请选择 IBM Tivoli Directory Server 作为目录类型。您可以为 IBM Directory Server 选择 IBM Tivoli Directory Server 或 SecureWay 目录类型。这两种类型之间的差别是组成员资格查询方式有所不同。 建议您选择 IBM Tivoli Directory Server 以在运行时实现最佳性能。 在 IBM Tivoli Directory Server中,组成员资格是操作属性。 使用此属性,组成员资格查询是通过枚举条目的 ibm-allGroups 属性完成的。 可以通过 ibm-allGroups 属性返回所有组成员资格,包括静态组、动态组和嵌套组。
WebSphere Application Server 支持 IBM Tivoli Directory Server 中使用 ibm-allGroups 属性的动态组,嵌套组和静态组。 要在安全授权应用程序中利用此属性,请使用不区分大小写的匹配,以使 ibm-allGroups 返回的属性值均为大写。
重要信息: 建议您不要在安装 V 9.0的机器上安装 IBM Tivoli Directory Server V 6.0 。 不能将 V 9.0 用作 IBM Tivoli Directory Server的管理控制台。 如果 IBM Tivoli Directory Server V 6.0 和 V 9.0 安装在同一机器上,那么您可能会迂到端口冲突。如果必须在同一机器上安装 IBM Tivoli Directory Server V 6.0 和 V 9.0 ,请考虑以下信息:
- 在 IBM Tivoli Directory Server 安装过程中,必须选择 Web 管理工具 V 5.1.1。
- 安装 V 9.0。
- 安装 V 9.0时,请更改应用程序服务器的端口号。
- 您可能需要在 V 9.0 上针对 WAS_HOME 和 WAS_INSTALL_ROOT (或 APP_SERVER_ROOT for IBM i) 调整 WebSphere Application Server 环境变量。 要使用管理控制台更改变量,请单击 环境> WebSphere 变量。
- 使用Lotus Domino Enterprise Server作为 LDAP 服务器如果选择 Lotus Domino Enterprise Server V 6.5.4 或 V 7.0 ,并且未在模式中定义属性短名称,那么可以执行以下任一操作:
- 更改模式以添加短名称属性。
- 更改用户标识映射过滤器,以将短名称替换为任何其他已定义的属性(最好替换为 UID)。 例如,将 person:shortname 更改为 person:uid。
userID 映射过滤器已更改为使用 uid 属性而不是 shortname 属性,因为缺省情况下,当前版本的 Lotus Domino 不会创建 shortname 属性。 如果要使用 shortname 属性,那么在模式中定义该属性,然后更改用户标识映射过滤器。
User ID Map : person:shortname - 使用 Sun ONE Directory Server 作为 LDAP 服务器您可以为 Sun ONE Directory Server 系统选择 Sun ONE Directory Server 。 在 Sun ONE Directory Server 中创建组时,缺省对象类是 groupOfUniqueName。 为了提高性能,WebSphere Application Server使用 User 对象从nsRole属性中查找用户组成员。 根据角色创建组。 如果要使用 groupOfUniqueName 属性来搜索组,请指定您自己的过滤器设置。 角色统一条目。 角色设计得更有效率并且更易于应用程序使用。 例如,应用程序可以通过枚举给定条目拥有的所有角色来找到某个条目的角色,而不是通过选择组和浏览成员列表来实现。 在使用角色时,可使用下列各项来创建组:
- 受管角色
- 过滤角色
- 嵌套角色
- 使用 Microsoft Active Directory 服务器作为 LDAP 服务器
要使用 Microsoft Active Directory 作为 LDAP 服务器向 WebSphere Application Server 进行认证,必须执行特定步骤。 缺省情况下, Microsoft Active Directory 不允许匿名 LDAP 查询。 为了创建 LDAP 查询或浏览目录,LDAP 客户机必须使用帐户的专有名称 (DN) 与 LDAP 服务器绑定,该帐户有权搜索和读取 Application Server 所需要的 LDAP 属性的值,例如用户和组信息。 在 Active Directory 中进行的组成员资格搜索是通过枚举给定用户条目的 memberof 属性完成的,而不是通过浏览每个组中的成员列表完成的。 如果将缺省行为更改为浏览每个组,那么可以将组成员标识映射字段由 memberof:member 更改为 group:member。
以下步骤描述了如何将 Microsoft Active Directory 设置为 LDAP 服务器。
过程
- 确定 Administrators 组中帐户的完整专有名称 (DN) 和密码。例如,如果 Active Directory 管理员在 Active Directory 用户和计算机 Windows 控制面板的 "用户" 文件夹中创建帐户,并且 DNS 域为 ibm.com, 生成的 DN 具有以下结构:
cn=<adminUsername>, cn=users, dc=ibm, dc=com