Ustawienia autonomicznego rejestru LDAP

Ta strona służy do konfigurowania ustawień protokołu LDAP (Lightweight Directory Access Protocol), gdy użytkownicy i grupy rezydują w zewnętrznym katalogu LDAP.

Aby wyświetlić tę stronę Konsoli administracyjnej, wykonaj następujące czynności:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Repozytorium kont użytkowników kliknij listę rozwijaną Definicje dostępnych dziedzin, wybierz opcję Autonomiczny rejestr LDAP i kliknij opcję Konfiguruj.

Jeśli po włączeniu zabezpieczeń dowolna z tych właściwości zostanie zmieniona, wówczas aby sprawdzić poprawność zmian, należy przejść do panelu Zabezpieczenia globalne i kliknąć Zastosuj.

Serwer WebSphere Application Server 7.0 rozróżnia tożsamości użytkowników, którzy pełnią role administratorów zarządzających środowiskiem, od tożsamości serwera służących do uwierzytelniania komunikacji między serwerami. W większości przypadków tożsamości serwerów są generowane automatycznie i nie są zapisywane w repozytorium.

[AIX Solaris HP-UX Linux Windows] Jednak jeśli dodawany jest węzeł w poprzedniej wersji do komórki w najnowszej wersji, a węzeł poprzedniej wersji używał hasła i tożsamości serwera, należy upewnić się, że tożsamość serwera i hasło dla poprzedniej wersji są zdefiniowane w repozytorium danej komórki. Wprowadź w tym panelu tożsamość użytkownika serwera i hasło.

[z/OS] Unikanie problemów: Ustawienia związane z narzędziem SAF (System Authorization Facility) mogą nie być widoczne na tym panelu. Aby zmodyfikować te ustawienia:
  1. Przejdź do panelu narzędzia SAF, klikając opcję Zabezpieczenia > Zabezpieczenia globalne > Zewnętrzni dostawcy autoryzacji.
  2. Z listy rozwijanej znajdującej się w obszarze Dostawca autoryzacji wybierz opcję System Authorization Facility (SAF).
  3. Kliknij przycisk Konfiguruj.
gotcha
Nazwa administratora podstawowego

Określa nazwę użytkownika z uprawnieniami administratora, który jest zdefiniowany w rejestrze użytkowników.

Nazwa użytkownika jest wykorzystywana do logowania się do Konsoli administracyjnej, jeśli włączone są zabezpieczenia administracyjne. W wersji 6.1 i późniejszych wymagany jest użytkownik administracyjny z tożsamością inną niż użytkownik serwera, aby możliwe było przeprowadzenie kontroli czynności administracyjnych.
Ostrzeżenie: W przypadku serwera WebSphere Application Server w wersjach 5.1 i 6.0.x pojedyncza tożsamość użytkownika jest wymagana zarówno do uzyskania dostępu administracyjnego, jak i do wewnętrznej komunikacji międzyprocesowej. W przypadku migracji do wersji 7.0 ta tożsamość jest używana jako tożsamość użytkownika serwera. Dla tożsamości użytkownika administracyjnego należy określić innego użytkownika.
[z/OS] Uwaga: W przypadku konfigurowania katalogu LDAP jako rejestru użytkowników przy włączonym mechanizmie SAF, jeśli dla właściwości com.ibm.security.SAF.authorization ustawiono wartość true, pole Nazwa podstawowego użytkownika administracyjnego nie jest wyświetlane w Konsoli administracyjnej.
Automatycznie generowana tożsamość serwera

Umożliwia serwerowi aplikacji generowanie tożsamości serwera. To rozwiązanie jest zalecane w przypadku środowisk zawierających tylko węzły w wersji 6.1 lub nowszej. Tożsamości serwera generowane automatycznie nie są przechowywane w repozytorium użytkownika.

Wartość domyślna: Włączony
Tożsamość serwera przechowywana w repozytorium [AIX Solaris HP-UX Linux Windows] [iSeries]

Określa tożsamość użytkownika w repozytorium używaną do celów wewnętrznej komunikacji międzyprocesowej. Komórki zawierające węzły w wersji 5.1 lub 6.0.x wymagają tożsamości użytkownika serwera zdefiniowanej w aktywnym repozytorium użytkowników.

Wartość domyślna: Włączony
Identyfikator użytkownika serwera lub użytkownika administrującego w węźle wersji 6.0.x. [AIX Solaris HP-UX Linux Windows]

Określa identyfikator użytkownika używany do uruchamiania serwera aplikacji w celu obsługi zabezpieczeń.

Hasło [AIX Solaris HP-UX Linux Windows]

Określa hasło odpowiadające identyfikatorowi serwera.

Typ serwera LDAP

Określa typ serwera LDAP, z którym jest nawiązywane połączenie.

[AIX Solaris HP-UX Linux Windows] [iSeries] Serwer IBM SecureWay Directory Server nie jest obsługiwany.

[z/OS] Serwer IBM SecureWay Directory Server jest obsługiwany przez serwer aplikacji dla systemu z/OS oraz przez wiele innych serwerów LDAP.

Host

Określa identyfikator hosta (adres IP lub nazwa DNS (domain name service) serwera LDAP.

Port

Określa port hosta serwera LDAP.

Jeśli zainstalowano wiele serwerów i skonfigurowano je do działania w tej samej domenie pojedynczego logowania lub jeśli serwer współdziała z poprzednią wersją, ważne jest, aby numer portu był zgodny ze wszystkimi konfiguracjami. Jeśli na przykład port LDAP jest jawnie określony jako 389 w konfiguracji wersji 6.1 i serwer WebSphere Application Server 7.0 będzie współdziałał z serwerem w wersji 6.1, należy się upewnić, że port 389 jest jawnie określony w wersji 7.0 serwera.
Wartość domyślna: 389
Typ: Integer
Podstawowa nazwa wyróżniająca (DN)

Określa podstawową nazwę wyróżniającą (DN) usługi katalogowej, która wskazuje punkt początkowy dla wyszukiwań LDAP w tej usłudze. W większości przypadków potrzebna jest nazwa wyróżniająca powiązania i hasło powiązania. Jeśli jednak anonimowe powiązanie spełnia wszystkie wymagane funkcje, nazwa wyróżniająca powiązania i hasło powiązania nie są potrzebne.

Na przykład dla użytkownika o nazwie wyróżniającej cn=Jan Kowalski, ou=Wroclaw, o=IBM, c=PL podstawową nazwę wyróżniającą należy określić jako jedną z poniższych opcji: ou=Wroclaw, o=IBM, c=PL lub o=IBM, c=PL albo c=PL. Do celów autoryzacji w polu tym rozróżniana jest wielkość liter. Ta specyfikacja powoduje, że na przykład po otrzymaniu znacznika z innej komórki lub serwera Lotus Domino podstawowa nazwa wyróżniająca w serwerze musi być dokładnie zgodna z podstawową nazwą wyróżniającą z innej komórki lub serwera Lotus Domino. Jeśli rozróżnianie wielkości liter nie jest potrzebne dla celów autoryzacji, należy włączyć opcję Ignoruj wielkość liter podczas autoryzowania. Ta opcja jest wymagana dla wszystkich katalogów LDAP (Lightweight Directory Access Protocol) z wyjątkiem Lotus Domino Directory, IBM Tivoli Directory Server 6.0 i Novell eDirectory, gdzie to pole jest opcjonalne.

Nazwa wyróżniająca powiązania (DN)

Określa nazwę wyróżniającą dla serwera aplikacji używaną podczas wiązania z usługą katalogową.

Jeśli żadna nazwa nie zostanie określona, serwer aplikacji tworzy powiązanie anonimowo. Przykłady nazw wyróżniających można znaleźć w opisie pola Podstawowa nazwa wyróżniająca.

Hasło powiązania

Określa hasło serwera aplikacji używane w celu powiązania z usługą katalogową.

Limit czasu wyszukiwania

Określa wartość limitu czasu (w sekundach) dla serwera LDAP (Lightweight Directory Access Protocol) na wysłanie odpowiedzi przed zatrzymaniem żądania.

Wartość domyślna: 120
Ponownie wykorzystaj połączenie

Określa, czy serwer ponownie wykorzystuje połączenia LDAP. Należy wyczyścić tę opcję tylko w rzadkich przypadkach, w których router jest używany do przekazywania żądań do wielu serwerów LDAP i gdy router nie obsługuje powinowactwa.

Wartość domyślna: Włączony
Zakres: Włączone lub Wyłączone
Ważne: Wyłączenie opcji Ponownie wykorzystaj połączenie powoduje tworzenie przez serwer aplikacji nowego połączenia LDAP dla każdego żądania wyszukiwania LDAP. Ta sytuacja ma wpływ na wydajność systemu, jeśli środowisko wymaga wielu wywołań LDAP. Opcja ta jest udostępniana, ponieważ router nie wysyła żądania do tego samego serwera LDAP. Opcja ta jest również używana wówczas, gdy wartość limitu czasu połączenia bezczynnego lub wartość limitu czasu firewalla między serwerem aplikacji a LDAP jest zbyt mała.

Jeśli do przełączania awaryjnego LDAP jest używany serwer WebSphere Edge Server, żądania resetowania TCP z serwerem Edge muszą zostać włączone. Resetowanie TCP powoduje natychmiastowe zamknięcie połączenia i przełączenie awaryjne na serwer zapasowy. Więcej informacji można znaleźć w temacie o wysyłaniu żądań resetowania TCP w przypadku awarii serwera w podręczniku http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER oraz w opisie opcji Edge Server V2 - TCP Reset w poprawce PTF #2: ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf.

Ignoruj wielkość liter podczas autoryzowania

Określa, czy podczas domyślnego autoryzowania wykonywany jest test autoryzacji bez rozróżniania wielkości liter.

Ta opcja jest wymagana, gdy produkt IBM Tivoli Directory Server jest wybrany jako serwer katalogów LDAP.

Ta opcja jest wymagana, gdy produkt Sun ONE Directory Server jest wybrany jako serwer katalogów LDAP. Więcej informacji można znaleźć w dokumentacji, w temacie "Używanie konkretnych serwerów katalogowych jako serwera LDAP".

Opcja ta jest nieobowiązkowa i może zostać włączona, gdy jest wymagane sprawdzanie autoryzacji bez rozróżnienia wielkości liter. Na przykład opcji tej należy użyć, gdy certyfikaty i treść certyfikatów nie są dopasowane pod względem wielkości liter używanych dla danej pozycji w serwerze LDAP. Opcję Ignoruj wielkość liter podczas autoryzowania można włączyć, jeśli jest używana funkcja pojedynczego logowania (SSO) między serwerem aplikacji a produktem Lotus Domino.

Wartość domyślna: Włączony
Zakres: Włączone lub Wyłączone
Włączony protokół SSL

Określa, czy w serwerze LDAP jest włączona komunikacja SSL.

Jeśli jest włączona, są używane ustawienia LDAP SSL (jeśli są określone).

Centralnie zarządzana

Służy do określania, czy wybór konfiguracji SSL jest oparty na widoku topologii danych wychodzących dla platformy JNDI (Java Naming and Directory Interface).

Centralnie zarządzane konfiguracje obsługują jedno położenie w celu konserwacji konfiguracji SSL, nie zaś w celu ich propagacji w wielu dokumentach konfiguracji.

Wartość domyślna: Włączony
Użyj określonego aliasu SSL

Określa alias konfiguracji SSL używany dla wychodzącej komunikacji SSL LDAP.

Ta opcja przesłania centralnie zarządzaną konfigurację dla platformy JNDI.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne
Odsyłacze pokrewne
Ustawienia kreatora autonomicznego rejestru LDAP


Nazwa pliku: usec_singleldaprepos.html