独立 LDAP 注册表设置

当用户和组在外部 LDAP 目录中时,使用此页面来配置轻量级目录访问协议 (LDAP) 设置。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下面,单击可用的域定义下拉列表,选择独立 LDAP 注册表,然后单击配置

当启用了安全性并更改任何这些属性时,转至“全局安全性”面板并单击应用以确认更改。

WebSphere® Application Server V7.0 对负责管理环境的管理员的用户标识与用于认证服务器间通信的服务器标识进行了区分。在大多数情况下,服务器标识是自动生成的,并且不存储在存储库中。

[AIX Solaris HP-UX Linux Windows] 然而,如果将先前版本节点添加至最新版本单元,并且该先前版本节点使用了服务器标识和密码,那么必须确保在此单元的存储库中定义了用于该先前版本的服务器标识和密码。可以在此面板上输入服务器用户标识和密码。

[z/OS] 避免故障: 与系统授权工具 (SAF) 相关的任何设置在此面板上可能不可视。要修改这些设置:
  1. 通过单击安全性 > 全局安全性 > 外部授权提供程序转到 SAF 的面板。
  2. 从“授权提供程序”选项下的下拉列表中选择系统授权工具 (SAF)
  3. 单击配置
gotcha
主管理用户名

指定用户注册表中定义的拥有管理特权的用户的名称。

启用管理安全性后,该用户名用来登录到管理控制台。V6.1 及以上版本需要不同于服务器用户标识的管理用户,这样可以审核管理操作。
注意: 在 WebSphere Application Server V5.1 和 V6.0.x 中,单用户标识对于管理访问和内部进程通信都是必需的。迁移至 V7.0 时,此标识将用作服务器用户标识。您需要对管理用户标识指定另一用户。
[z/OS] 注: 当配置 LDAP 作为用户注册表且启用了 SAF 时,如果属性 com.ibm.security.SAF.authorization 设置为 true,那么管理控制台上不会显示主管理用户名字段。
自动生成的服务器标识

使应用程序服务器能够生成建议用于仅包含 V6.1 或更高版本节点的环境的服务器标识。自动生成的服务器标识不会存储在用户资源库中。

缺省值: 已启用
存储在存储库中的服务器标识 [AIX Solaris HP-UX Linux Windows] [iSeries]

指定存储库中用于进行内部进程通信的用户标识。包含 V5.1 或 6.0.x 节点的单元需要在活动用户资源库中定义的服务器用户标识。

缺省值: 已启用
V6.0.x 节点上的服务器用户标识或管理用户 [AIX Solaris HP-UX Linux Windows]

为确保安全,指定用于运行应用程序服务器的用户标识。

密码 [AIX Solaris HP-UX Linux Windows]

指定与服务器标识相对应的密码。

LDAP 服务器的类型

指定要连接的 LDAP 服务器的类型。

[AIX Solaris HP-UX Linux Windows] [iSeries] 不支持 IBM® SecureWay® Directory Server。

[z/OS] 用于 z/OS® 的应用程序服务器以及许多其他 LDAP 服务器都支持 IBM SecureWay Directory Server。

主机

指定 LDAP 服务器的主机标识(IP 地址或域名服务(DNS)名称)。

端口

指定 LDAP 服务器的主机端口。

如果已安装多个应用程序服务器并将它们配置成在同一个单点登录域中运行,或者应用程序服务器将与前一个版本的应用程序服务器进行互操作,那么将端口号与所有配置相匹配十分重要。例如,如果在 V6.1 配置中显式地将 LDAP 端口指定为 389,并且 V7.0 的 WebSphere Application Server 将与该 V6.1 服务器进行互操作,那么验证对 V7.0 服务器明确指定了端口 389
缺省值: 389
输入: 整型
基本专有名称 (DN)

指定目录服务的基本专有名称 (DN),此名称指示目录服务的 LDAP 搜索操作的起始点。在大多数情况下,都需要绑定 DN 和绑定密码。但是,当匿名绑定能够满足所有必需功能的要求时,就不需要绑定 DN 和绑定密码。

例如,对于 DN 为 cn=John Doe , ou=Rochester, o=IBM, c=US 的用户,将基本 DN 指定为下列任何一个选项:ou=Rochester, o=IBM, c=USo=IBM c=USc=US。为了进行授权,此字段区分大小写。此规范意味着,如果接收到令牌(例如从另一个单元或 Lotus® Domino® 接收到令牌),那么服务器中的基本 DN 必须与来自该单元或 Lotus Domino 服务器的基本 DN 完全相同。如果授权时不考虑区分大小写,那么启用授权时忽略大小写选项。此选项除了对 Lotus Domino Directory、IBM Tivoli® Directory Server V6.0 和 Novell eDirectory 来说是可选的外,对所有其他轻量级目录访问协议 (LDAP) 目录来说都是必需的。

绑定专有名称 (DN)

指定与目录服务绑定时要使用的应用程序服务器的 DN。

如果未指定名称,应用程序服务器就会以匿名方式绑定。请参阅“基本专有名称 (DN)”字段描述以获取专有名称示例。

绑定密码

指定与目录服务绑定时应用程序服务器使用的密码。

搜索超时

指定轻量级目录访问协议 (LDAP) 服务器在停止请求前要响应的超时值(以秒计)。

缺省值: 120
重用连接

指定服务器是否复用 LDAP 连接。只应该在下面这种罕见情况下清除此选项:使用路由器来将请求分发到多个 LDAP 服务器,而该路由器不支持亲缘关系。

缺省值: 已启用
范围: 已启用或已禁用
重要: 如果禁用重用连接选项,应用程序服务器就会为每个 LDAP 搜索请求创建新的 LDAP 连接。如果环境需要执行大量的 LDAP 调用,那么这种情况将影响系统性能。如果路由器未将请求发送至同一 LDAP 服务器,那么应该使用此选项。当应用程序服务器与 LDAP 之间的空闲连接超时值或防火墙超时值太小时,也使用此选项。

如果正在使用 WebSphere Edge Server 来进行 LDAP 故障转移,那么必须对 Edge Server 启用 TCP 复位。TCP 复位会导致连接立即被关闭并且备份服务器执行故障转移。有关更多信息,请参阅“在服务器当机时发送 TCP 复位消息”(http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER)以及以下位置描述的 PTF #2 中的 Edge Server V2 - TCP 复位功能:ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf。

授权时忽略大小写

指定使用缺省授权时执行不区分大小写的授权检查。

当选择 IBM Tivoli Directory Server 作为 LDAP 目录服务器时,此选项是必需的。

当选择 Sun ONE Directory Server 作为 LDAP 目录服务器时,此选项是必需的。有关更多信息,请参阅文档中的“将特定目录服务器用作 LDAP 服务器”。

当需要执行区分大小写的授权检查时,此选项是可选的,并且可以启用它。例如,当证书和证书内容与 LDAP 服务器中使用的条目大小写不匹配时,可以使用此选项。当在应用程序服务器与 Lotus Domino 之间使用单点登录 (SSO) 功能时,可以启用授权时忽略大小写选项。

缺省值: 已启用
范围: 已启用或已禁用
启用 SSL

指定是否对轻量级目录访问协议 (LDAP) 服务器启用安全套接字通信。

启用此选项后,如果已指定 LDAP 安全套接字层 (SSL) 设置,就会使用那些设置。

集中管理

指定根据 Java™ 命名和目录接口(JNDI)平台的出站拓扑视图来选择 SSL 配置。

集中管理的配置支持在一个位置维护 SSL 配置,而不是将这些配置分布到许多配置文档中。

缺省值: 已启用
使用特定 SSL 别名

指定用于 LDAP 出站 SSL 通信的 SSL 配置别名。

此选项覆盖集中管理的 JNDI 平台配置。




标有(在线)的链接要求访问因特网。

相关任务
相关参考
独立 LDAP 注册表向导设置


文件名: usec_singleldaprepos.html