獨立式 LDAP 登錄設定

如果使用者和群組是在外部 LDAP 目錄時,請利用這個頁面來配置「輕量型目錄存取通訊協定 (LDAP)」設定。

若要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「使用者帳戶儲存庫」之下,按一下可用的網域範圍定義下拉清單,選取獨立式 LDAP 登錄,再按一下配置

當啟用安全且任何這些內容有了改變時,請進入「廣域安全」畫面,按一下套用來驗證變更。

在 WebSphere® Application Server 6.1 版中,負責管理環境之管理者的使用者身分,與負責鑑別伺服器對伺服器通訊的伺服器身分會有所區隔。 在大部分情況下,伺服器身分會自動產生,且不會儲存在儲存庫中。

[AIX Solaris HP-UX Linux Windows] 不過,如果您在 6.1 版 Cell 中新增了 5.0.x 或 6.0.x 版節點,您必須確定 5.x 或 6.0.x 版伺服器身分和密碼已定義在這個 Cell 的儲存庫中。 請在這個畫面中輸入伺服器使用者身分和密碼。

自動產生的伺服器身分

使應用程式伺服器能夠產生只含 6.1 版或更新版節點的環境所建議採用的伺服器身分。 自動產生的伺服器身分不會儲存在使用者儲存庫中。

您可以在「鑑別機制和期限」畫面中,變更這個伺服器身分。 若要存取「鑑別機制和期限」畫面,請按一下安全 > 廣域安全 > 鑑別機制和期限。 請變更「內部伺服器 ID」欄位的值。

預設值: 啟用
儲存庫所儲存的伺服器身分 [AIX Solaris HP-UX Linux Windows] [iSeries]

指定儲存庫中用來進行內部程序通訊的使用者身分。 含有 5.x 或 6.0.x 版節點的 Cell 需要定義在作用中使用者儲存庫中的伺服器使用者身分。

預設值: 啟用
6.0.x 版節點的伺服器使用者 ID 或管理使用者 [AIX Solaris HP-UX Linux Windows]

指定為了安全而用來執行應用程式伺服器的使用者 ID。

密碼 [AIX Solaris HP-UX Linux Windows]

指定對應於伺服器 ID 的密碼。

「配置」標籤

主要管理使用者名稱

指定具備自訂使用者登錄所定義之管理專用權的使用者名稱。

當啟用管理安全時,會利用使用者名稱來登入管理主控台。 6.1 版需要有別於伺服器使用者身分的管理使用者,以便審核管理動作。
小心: 在 WebSphere Application Server 5.x 和 6.0.x 版中,管理存取和內部程序通訊都需要單一使用者身分。 當移轉至 6.1 版時,這個身分用來作為伺服器使用者身分。 對於管理使用者身分,您必須指定另一位使用者。
LDAP 伺服器的類型

請指定要連接的 LDAP 伺服器類型。

[AIX Solaris HP-UX Linux Windows] [iSeries] 不支援 IBM® SecureWay® Directory Server。

[z/OS] z/OS® 應用程式伺服器以及許多其他 LDAP 伺服器都支援 IBM SecureWay Directory Server。

主機

請指定 LDAP 伺服器的主機 ID(IP 位址或網域名稱服務 (DNS) 名稱)。

請指定 LDAP 伺服器的主機埠。

如果將多部應用程式伺服器安裝並配置同一個單一登入網域中執行,或如果應用程式伺服器與舊版交互作業,這時所有配置中的埠號都必須相符。比方說,如果在 4.0.x 版的配置中將 LDAP 埠明確指定為 389,且第 5 版的 WebSphere Application Server 要與 4.0.x 版的伺服器交互作業,這時請確認已將 389 埠明確指定給第 5 版的伺服器。
預設值: 389
類型: 整數
基本識別名稱 (DN)

指定目錄服務的基本識別名稱 (DN),代表目錄服務的 LDAP 搜尋起點。在大部分情況下,會需要連結 DN 和連結密碼。不過,如果匿名連結可滿足所有必要的功能,則不需要連結 DN 和連結密碼。

例如,對於其 DN 為cn=John Doe , ou=Rochester, o=IBM, c=US 的使用者,請將基本 DN 指定為下列任一選項:ou=Rochestero=IBMc=USo=IBM c=USc=US。為了方便授權,這個欄位會區分大小寫。 這個規格意味,如果收到記號(例如從另一個 Cell 或 Lotus® Domino® 收到記號),伺服器中的基本 DN 必須完全符合其他 Cell 或 Lotus Domino 伺服器的基本 DN。 如果在授權時不需要考慮區分大小寫,請啟用授權不區分大小寫選項。所有輕量型目錄存取通訊協定 (LDAP) 目錄都需要這個選項,但 Lotus Domino Directory、IBM Tivoli® Directory Server 6.0 版和 Novell eDirectory 除外(它們的這個欄位是選用的)。

如果您需要在應用程式伺服器第 5 版和 5.0.1 版或更新的版本之間交互作業,您必須輸入一個正規化的基本 DN。正規化的基本 DN 在逗點和等號的前後不包含空格。o = ibm, c = uso=ibm, c=us 是未正規化的基本 DN 範例。o=ibm,c=us 是正規化的基本 DN 範例。在 WebSphere Application Server 5.0.1 版或更新的版本中,正規化會在執行時期自動進行。

連結識別名稱 (DN)

請指定連結至目錄服務時所用的應用程式伺服器之 DN。

如果沒有指定名稱的話,會以匿名方式來連結應用程式伺服器。 請參閱「基本識別名稱 (DN)」欄位說明,以查看識別名稱的範例。

連結密碼

請指定連結至目錄服務時所用的應用程式伺服器之密碼。

搜尋逾時

指定在停止要求之前,輕量型目錄存取通訊協定 (LDAP) 伺服器的回應逾時值(秒)。

預設值: 120
重複使用連線

指定伺服器是否重複使用 LDAP 連線。請只在利用路由器將要求配送給多個 LDAP 伺服器及路由器不支援親緣性之類的少數情況下,才取消選取這個選項。

預設值: 啟用
範圍: 啟用或停用
重要: 停用重複使用連線選項會使應用程式伺服器針對每個 LDAP 搜尋要求來建立新的 LDAP 連線。如果您的環境需要大量的 LDAP 呼叫,這個狀況會影響系統效能。提供這個選項的原因,是路由器不會將要求傳送到相同的 LDAP 伺服器。 當應用程式伺服器和 LDAP 之間的閒置連線逾時值或防火牆逾時值太小時,也會使用這個選項。

如果您使用 WebSphere Edge Server for LDAP 失效接手,您必須利用 Edge Server 來啟用 TCP Reset。 TCP 重設會立即關閉連線,讓備用伺服器進行失效接手。如需相關資訊,請參閱 http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER 的 "Sending TCP resets when server is down",以及 ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf 中所說明的 PTF #2 中的 Edge Server V2 - TCP Reset 特性。

授權不區分大小寫

請指定當您使用預設授權時執行不區分大小寫的授權檢查。

當選取 IBM Tivoli Directory Server 作為 LDAP 目錄伺服器時,需要這個選項。

當選取 Sun ONE Directory Server 作為 LDAP 目錄伺服器時,需要這個選項。 如需相關資訊,請參閱文件中的「使用特定目錄伺服器作為 LDAP 伺服器」。

此為選用選項,在需要進行區分大小寫的授權檢查時,您可以啟用它。比方說,當憑證和憑證內容不符合 LDAP 伺服器項目的大小寫時,請使用這個選項。 當在應用程式伺服器和 Lotus Domino 之間使用單一登入 (SSO) 時,您可以啟用授權不區分大小寫選項。

預設值: 啟用
範圍: 啟用或停用
SSL 已啟用

請指定是否啟用「輕量型目錄存取通訊協定 (LDAP)」伺服器的 Secure Socket Communications。

如果啟用時,如果指定了 LDAP Secure Socket Layer 設定,就會使用這項設定。

集中管理

指定根據 Java™ 命名和目錄介面 (JNDI) 平台的出埠拓蹼視圖來選取 SSL 配置。

集中管理的配置支援用一個位置來維護 SSL 配置,而不是將這些配置散佈於多份配置文件中。

預設值: 啟用
使用特定 SSL 別名

指定 LDAP 出埠 SSL 通訊要用的 SSL 配置別名。

這個選項會置換 JNDI 平台的集中式管理配置。




標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
獨立式 LDAP 登錄精靈設定


檔名: usec_singleldaprepos.html