Paramètres de registre LDAP autonome

Cette page permet de configurer les paramètres LTPA (Lightweight Directory Access Protocol) lorsque les utilisateurs et les groupes se trouvent dans un annuaire LDAP externe.

Pour afficher cette page de la console d'administration, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.

Lorsque la sécurité est activée et que l'une de ces propriétés est modifiée, accédez au panneau Sécurité globale et cliquez sur Valider pour valider les modifications.

WebSphere Application Server Version 7.0 fait la distinction entre les identités d'utilisateur pour des administrateurs gérant l'environnement et les identités de serveur pour authentifier les communications entre les serveurs. Le plus souvent, les identités de serveurs sont générées automatiquement et ne sont pas stockées dans un référentiel.

[AIX Solaris HP-UX Linux Windows] Toutefois, si vous ajoutez un noeud correspondant à une version antérieure à la cellule correspondant à la dernière version et que le noeud de la version précédente utilisait une identité et un mot de passe de serveur, l'identité et le mot de passe du serveur de la version précédente doivent être définis dans le référentiel de cette cellule. Entrez dans ce panneau l'identité et le mot de passe du serveur.

[z/OS] Eviter les incidents : Les paramètres associés à SAF (System Authorization Facility) peuvent ne pas apparaître dans ce panneau. Pour modifier ces paramètres :
  1. Accédez au panneau de SAF en cliquant sur Sécurité > Sécurité globale > Fournisseurs d'autorisations externes.
  2. Sélectionnez Autorisation SAF (System Authorization Facility) dans la liste déroulante sous Fournisseur d'autorisations.
  3. Cliquez sur Configurer.
gotcha
Nom de l'utilisateur administratif primaire

Indique le nom de l'utilisateur disposdoté de privilèges d'administration défini dans le registre d'utilisateurs.

Ce nom d'utilisateur permet de se connecter à la console d'administration lorsque la sécurité d'administration est activée. La version 6.1 et les versions ultérieures exigent un administrateur différent de l'identité de l'utilisateur de serveur pour que les actions d'administration puissent être auditées.
Avertissement : Dans WebSphere Application Server, Versions 5.1 et 6.0.x, une seule identité d'utilisateur est requise pour l'accès d'administration et les communications des processus internes. Lors de la migration vers la version 7.0, cette identité est utilisée comme identité d'utilisateur de serveur. Vous devez spécifier un autre utilisateur pour l'identité de l'utilisateur d'administration.
[z/OS] Remarque : Lorsque vous configurez LDAP comme registre d'utilisateurs et que SAF est activé, si la propriété com.ibm.security.SAF.authorization a la valeur true, le nom de l'utilisateur administratif primaire n'est pas affiché dans la console d'administration.
Identité de serveur généré automatiquement

Permet au serveur d'applications de générer l'identité du serveur, laquelle est recommandée pour les environnements qui contiennent uniquement des noeuds de version 6.1 ou ultérieure. Les identités de serveur générées automatiquement ne sont pas stockées dans un référentiel d'utilisateur.

Valeur par défaut Activé
Identité du serveur stockée dans un référentiel [AIX Solaris HP-UX Linux Windows] [iSeries]

Spécifie un ID utilisateur dans le référentiel, destiné aux communications des processus internes. Les cellules qui contiennent des noeuds 5.1.x ou 6.0.x exigent qu'une identité de serveur soit définie dans le référentiel d'utilisateurs actif.

Valeur par défaut Activé
ID utilisateur ou administratif sur un noeud de la version 6.0.x [AIX Solaris HP-UX Linux Windows]

Indique l'ID utilisateur employé pour exécuter le serveur d'applications à des fins de sécurité.

Mot de passe [AIX Solaris HP-UX Linux Windows]

Indique le mot de passe correspondant à l'ID du serveur.

Type du serveur LDAP

Indique le type de serveur LDAP auquel vous vous connectez.

[AIX Solaris HP-UX Linux Windows] [iSeries] IBM SecureWay Directory Server n'est pas pris en charge.

[z/OS] IBM SecureWay Directory Server est pris en charge par le serveur d'applications pour z/OS et par de nombreux autres serveurs LDAP.

Hôte

Indique l'ID hôte (adresse IP ou nom DNS) du serveur LDAP.

Port

Indique le port d'hôte du serveur LDAP.

Si plusieurs serveurs d'applications sont installés et configurés afin d'être exécutés dans le même domaine SSO (single sign-on) ou si le serveur d'applications interagit avec une version précédente de WebSphere Application Server, il est important que le numéro de port corresponde à toutes les configurations. Par exemple, si le port LDAP est explicitement indiqué avec la valeur 389 dans une configuration de version 6.1 et qu'un serveur WebSphere Application Server, version 7.0 doit fonctionner avec un serveur de la version 6.1, vérifiez que le port 389 est indiqué explicitement pour le serveur de la version 7.0.
Valeur par défaut 389
Type : Entier
Nom distinctif de base

Indique le nom distinctif de base du service d'annuaire, définissant le point de départ des recherches LDAP du service d'annuaire. Dans la plupart des cas, les noms distinctifs et les mots de passe de connexion sont nécessaires. Toutefois, lorsqu'une liaison anonyme peut satisfaire toutes les fonctions requises, le nom distinctif et le mot de passe de liaison sont nécessaires.

Par exemple, pour un utilisateur dont le nom distinctif est cn=John Doe , ou=Rochester, o=IBM, c=US, indiquez le nom distinctif de base de l'une des façons suivantes : ou=Rochester, o=IBM, c=US, o=IBM c=US ou c=US. Dans le cadre des autorisations, les majuscules et les minuscules sont prises en compte dans cette zone. Par conséquent, lors de la réception d'un jeton, par exemple, d'une autre cellule ou de Lotus Domino, le nom distinctif de base sur le serveur doit correspondre à celui de l'autre cellule ou de Lotus Domino. Si vous ne voulez pas prendre en compte les majuscules et les minuscules pour l'autorisation, activez l'option Ignorer maj/min pour l'autorisation. Cette option est obligatoire pour tous les annuaires LDAP (Lightweight Directory Access Protocol), à l'exception de Lotus Domino Directory, IBM Tivoli Directory Server V6.0 et Novell eDirectory pour lesquels elle est facultative.

Nom distinctif de liaison

Indique le nom distinctif du serveur d'applications à utiliser lors de l'association au service d'annuaire.

Si aucun nom n'est spécifié ici, la liaison sera anonyme. Pour des exemples de noms distinctifs, reportez-vous à la description de la zone Nom distinctif de base.

Mot de passe de liaison

Indique le mot de passe devant être utilisé sur le serveur d'applications lors de la liaison au service d'annuaire.

Délai d'expiration de la recherche

Indique en secondes le délai de réponse d'un serveur LDAP avant qu'une demande soit arrêtée.

Valeur par défaut 120
Réutiliser la connexion

Indique si le serveur réutilise la connexion LDAP. Désélectionnez cette case à cocher uniquement dans les rares cas où un routeur est utilisé pour distribuer les demandes à plusieurs serveurs LDAP et que le routeur ne prend pas en charge l'affinité.

Valeur par défaut Activé
Portée Activé ou désactivé
Important : Désactiver l'option Réutiliser la connexion amène le serveur d'applications à créer une nouvelle connexion LDAP pour chaque demande de recherche LDAP. Cela a un impact sur les performances du système si votre environnement requiert un nombre important d'appels LDAP. Cette option est fournie car le routeur n'envoie pas la demande au même serveur LDAP. Cette option est également utilisée si le délai d'expiration des connexions inactives ou du pare-feu entre le serveur d'applications et LDAP est trop faible.

Si vous utilisez WebSphere Edge Server pour la reprise en ligne de LDAP, vous devez activer les réinitialisations TCP avec le serveur Edge. Une réinitialisation TCP entraîne la fermeture immédiate de la connexion et le basculement sur le serveur de secours. Pour plus d'informations, voir "Sending TCP resets when server is down" à l'adresse http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER et la fonction Edge Server V2 - TCP Reset dans le PTF #2 décrit dans : ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf.

Ignorer maj/min pour l'autorisation

Indique qu'une vérification d'autorisations dépendant des majuscules/minuscules est effectuée lorsque vous utilisez l'autorisation par défaut.

Cette option est requise lorsqu'IBM Tivoli Directory Server est sélectionné en tant que serveur d'annuaire LDAP.

Cette option est requise lorsque Sun ONE Directory Server est sélectionné en tant que serveur d'annuaire LDAP. Pour plus d'informations, voir "Utilisation de serveurs d'annuaire spécifiques en tant que serveur LDAP" de la documentation.

Cette option est facultative et peut être activée lorsqu'une vérification des droits avec respect des majuscules et des minuscules est requise. Utilisez par exemple cette option lorsque les certificats et le contenu de ces certificats ne correspondent pas à la casse de l'entrée du serveur LDAP. Vous pouvez activer l'option Ignorer maj/min pour l'autorisation lors de l'utilisation de la connexion unique (SSO) entre le serveur d'applications et Lotus Domino.

Valeur par défaut Activé
Portée Activé ou désactivé
SSL activé

Indique si la communication de socket sécurisée est activée avec le serveur LDAP (Lightweight Directory Access Protocol).

Si tel est le cas, les paramètres SSL (Secure Sockets Layer) sont utilisés s'ils sont spécifiés.

Géré de façon centrale

Indique que la sélection d'une configuration SSL est basée sur la vue de topologie sortante de la plateforme JNDI (Java Naming and Directory Interface).

Les configurations gérées de façon centrale tiennent à jour les configurations SSL sur un seul emplacement, pour éviter de les disperser sur plusieurs documents de configuration.

Valeur par défaut Activé
Utiliser un alias SSL spécifique

Indique l'alias de configuration SSL que vous voulez utiliser pour les communications SSL sortantes LDAP.

Cette option remplace la configuration gérée de façon centrale pour la plateforme JNDI.




Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Paramètres de l'assistant du registre LDAP autonome


Nom du fichier : usec_singleldaprepos.html