Параметры автономного реестра LDAP

Эта страница позволяет настроить параметры протокола LDAP, если пользователи и группы расположены во внешнем каталоге LDAP.

Для просмотра этой страницы административной консоли выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Хранилище учетных записей пользователей откройте выпадающий список Доступные определения областей, выберите в нем пункт Автономный реестр LDAP и нажмите Настроить.

Если защита включена, то после изменения этих параметров перейдите на панель Глобальная защита и нажмите Применить для вступления изменений в действие.

В WebSphere Application Server Version 7.0 профайлы делятся на пользовательские, для администрирования среды, и серверные, для идентификации при взаимодействии серверов между собой. В большинстве случаев вторые профайлы генерируются автоматически и не хранятся в реестре.

[AIX Solaris HP-UX Linux Windows] Однако при добавлении узла предыдущей версии в ячейку с последней версией необходимо добавить идентификатор сервера и пароль этого узла в хранилище целевой ячейки. Они вводятся в этой панели.

[z/OS] Предотвращение неполадок: На этой панели могут быть недоступны параметры, относящиеся к System Authorization Facility (SAF). Для изменения этих параметров выполните следующие действия:
  1. Откройте панель SAF. Для этого выберите Защита > Глобальная защита > Внешние провайдеры проверки прав доступа.
  2. Выберите Проверка прав доступа (SAF) в выпадающем списке Провайдер проверки прав доступа.
  3. Нажмите Настроить.
gotcha
Имя главного администратора

Задает имя пользователя с правами доступа администратора, которое определено в реестре пользователей.

Имя пользователя применяется для сеанса административной консоли, когда включена административная защита. Начиная с версии версии 6.1, требуются права доступа администратора, отличного от ИД пользователя сервера, чьи административные действия необходимо проконтролировать.
Внимание: В WebSphere Application Server версий 5.1 и 6.0.x для административного доступа и внутреннего обмена данными в процессе требуется один ИД пользователя. При миграции до версии 7.0 этот профайл используется как ИД пользователя сервера. Для администратора необходимо указать другой ИД.
[z/OS] Прим.: Если при настроенном в качестве реестра пользователей LDAP и при включенном SAF свойству com.ibm.security.SAF.authorization задано значение true, то поле Основной администратор не будет показано на административной консоли.
Идентификационные данные сервера генерируются автоматически

Разрешить серверу приложений создавать идентификационные данные сервера, рекомендуемые для сред с узлами только версий 6.1 или выше. Создаваемые автоматически идентификационные данные сервера не записываются в пользовательское хранилище.

По умолчанию: Включен
Идентификационные данные сервера хранятся в хранилище [AIX Solaris HP-UX Linux Windows] [iSeries]

Указывает идентификационные данные из хранилища, используемые при взаимодействии между процессами. Ячейкам с узлами версий 5.1 или 6.0.x требуются идентификационные данные пользователя сервера, определенные в активном пользовательском хранилище.

По умолчанию: Включен
ИД пользователя или администратора сервера на узле версии Version 6.0.x [AIX Solaris HP-UX Linux Windows]

Указывает ИД пользователя для запуска сервера приложений в целях защиты.

Пароль [AIX Solaris HP-UX Linux Windows]

Указывает пароль для указанного ИД пользователя.

Тип сервера LDAP

Задает тип сервера LDAP для подключения.

[AIX Solaris HP-UX Linux Windows] [iSeries] IBM SecureWay Directory Server не поддерживается.

[z/OS] IBM SecureWay Directory Server поддерживается сервером приложений для z/OS, а также многими другими серверами LDAP.

Хост

ИД хоста сервера LDAP (IP-адрес или имя DNS).

Порт

Номер порта сервера LDAP.

При наличии в одном домене единого входа в систему нескольких серверов приложений, а также в случае взаимодействия сервера приложений с предыдущей версией необходимо, чтобы во всех конфигурациях был указан одинаковый номер порта. Например, если порт LDAP 389 явно указан в конфигурации версии 6.1, а WebSphere Application Server версии 7.0 будет взаимодействовать с сервером версии 6.1, для сервера версии 7.0 следует также указать порт 389.
По умолчанию: 389
Тип: Целое число
Базовое отличительное имя (DN)

Базовое отличительное имя службы каталогов, которое задает начальную точку запросов на поиск LDAP в службе каталогов. В большинстве случаев, отличительное имя и пароль связывания необходимы. Однако, если анонимное связывание может выполнить все требуемые функции, отличительное имя и пароль связывания не обязательны.

Например, для пользователя с отличительным именем cn=John Doe , ou=Rochester, o=IBM, c=US укажите любой из следующих вариантов базового отличительного имени: ou=Rochester, o=IBM, c=US; o=IBM c=US; c=US. В целях проверки прав доступа в значении этого поля учитывается регистр. Это подразумевает, что если ключ получен, например от другой ячейки или сервера Lotus Domino, базовое DN в сервере должно точно совпадать с базовым DN из другой ячейки или сервера Lotus Domino. Если регистр не должен учитываться при проверке прав доступа, выберите опцию Игнорировать регистр при проверке прав доступа. Это обязательная опция для всех каталогов LDAP, за исключением Lotus Domino Directory, IBM Tivoli Directory Server V6.0 и Novell eDirectory.

Базовое отличительное имя (DN)

Задает отличительное имя, применяемое сервером приложений при связывании со службой каталогов.

Если имя не задано, сервер приложений связывается анонимно. Примеры отличительных имен приведены в описании поля Базовое отличительное имя (DN).

Пароль связывания

Задает пароль, применяемый сервером приложений при связывании со службой каталогов.

Тайм-аут поиска

Задает значение тайм-аута ответа сервера LDAP в секундах, после которого запрос будет отменен.

По умолчанию: 120
Повторное использование соединения

Указывает, разрешено ли серверу повторное использование соединения LDAP. Отменять выбор этой опции рекомендуется только в том случае, если для распределения запросов между несколькими серверами LDAP применяется маршрутизатор, либо маршрутизатор не поддерживает привязку.

По умолчанию: Включен
Диапазон значений: Включено или выключено
Важное замечание: Если опция Повторное использование соединений не выбрана, то сервер приложений создает новое соединение LDAP для каждого запроса на поиск LDAP. В случае интенсивного взаимодействия с сервером LDAP это может привести к значительному снижению производительности системы. Данная опция предусмотрена, поскольку маршрутизатор может работать с несколькими серверами LDAP. Кроме того, она применяется, если указано слишком маленькое значение тайм-аута простоя соединения или тайм-аута брандмауэра между сервером приложений и LDAP.

При использовании WebSphere Edge Server для переключения LDAP, необходимо включить сброс TCP. Сброс TCP приводит к немедленному завершению соединения и переключению на резервный сервер. Дополнительная информация приведена в руководстве http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER, а также в описании PTF #2 из книги ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf.

Игнорировать регистр при проверке прав доступа

Позволяет учитывать регистр символов в ходе проверки прав доступа по умолчанию.

Это требуется если в качестве сервера каталогов LDAP используется IBM Tivoli Directory Server.

Это обязательная опция, если в качестве сервера каталога LDAP выбран Sun ONE Directory Server. Дополнительная информация приведена в разделе "Применение конкретных серверов каталогов в качестве сервера LDAP".

В остальных случаях это необязательная опция и ее следует указывать, если проверка прав доступа должна выполняться без учета регистра символов. Например, если регистр символов имен и содержимого сертификатов не соответствует формату сервера LDAP. Опцию Игнорировать регистр при проверке прав доступа можно выбрать, если сервер приложений и Lotus Domino принадлежат одной среде единого входа в систему (SSO).

По умолчанию: Включен
Диапазон значений: Включено или выключено
Включить SSL

Указывает, включена ли защита SSL на сервере LDAP.

Если защита включена, то используются параметры SSL, указанные для LDAP.

Централизованное управление

Указывает на то, что выбор конфигурации SSL основан на исходящем топологическом просмотре для платформы JNDI (Java Naming and Directory Interface).

Центральное управление конфигураций SSL использует одно расположение, а не распределяет их по разным документам конфигураций.

По умолчанию: Включен
Использовать определенный псевдоним SSL

Задает псевдоним конфигурации SSL для использования применения в исходящих соединениях SSL LDAP.

Эта опция переопределяет центральное управление конфигурациями для платформы JNDI.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной
Ссылки, связанные с данной
Параметры мастера автономного реестра LDAP


Имя файла: usec_singleldaprepos.html