獨立式 LDAP 登錄設定

如果使用者和群組是在外部 LDAP 目錄時,請利用這個頁面來配置「輕量型目錄存取通訊協定 (LDAP)」設定。

如果要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「使用者帳戶儲存庫」下,按一下可用的網域範圍定義下拉清單,選取獨立式 LDAP 登錄,再按一下配置

當啟用安全且任何這些內容有了改變時,請進入「廣域安全」畫面,按一下套用來驗證變更。

在 WebSphere® Application Server 7.0 版中,負責管理環境之管理者的使用者身分,與負責鑑別伺服器對伺服器通訊的伺服器身分會有所區隔。在大部分情況下,伺服器身分會自動產生,且不會儲存在儲存庫中。

[AIX Solaris HP-UX Linux Windows] 不過,如果您在最新版 Cell 中新增了舊版節點,且舊版節點使用了伺服器身分與密碼,您必須確定舊版的伺服器身分和密碼已定義在這個 Cell 的儲存庫中。請在這個畫面中輸入伺服器使用者身分和密碼。

[z/OS] 避免問題: 在這個畫面中,不見得可以看見「系統授權機能 (SAF)」的任何相關設定。如果要修改這些設定,請執行下列動作:
  1. 按一下安全 > 廣域安全 > 外部授權提供者,以跳至 SAF 畫面。
  2. 從「授權提供者」選項下的下拉清單中,選取系統授權機能 (SAF)
  3. 再按一下配置
gotcha
主要管理使用者名稱

指定具備使用者登錄所定義之管理專用權的使用者名稱。

當啟用管理安全時,會利用使用者名稱來登入管理主控台。 6.1 版以及更新版本需要有別於伺服器使用者身分的管理使用者,以便審核管理動作。
小心: 在 WebSphere Application Server 5.1 和 6.0.x 版中,管理存取權和內部程序通訊都需要單一使用者身分。當移轉至 7.0 版時,這個身分用來作為伺服器使用者身分。對於管理使用者身分,您必須指定另一位使用者。
[z/OS] 註: 當您將 LDAP 配置為使用者登錄,且 SAF 也已啟用時,如果內容 com.ibm.security.SAF.authorization 設為 true,則管理主控台上不會顯示「主要管理使用者名稱」欄位。
自動產生的伺服器身分

使應用程式伺服器能夠產生只含 6.1 版或更新版節點的環境所建議採用的伺服器身分。 自動產生的伺服器身分不會儲存在使用者儲存庫中。

預設值: 已啟用
儲存庫所儲存的伺服器身分 [AIX Solaris HP-UX Linux Windows] [iSeries]

指定儲存庫中用來進行內部程序通訊的使用者身分。 含有 5.1 或 6.0.x 版節點的 Cell 需要一個定義在作用中使用者儲存庫中的伺服器使用者身分。

預設值: 已啟用
6.0.x 版節點的伺服器使用者 ID 或管理使用者 [AIX Solaris HP-UX Linux Windows]

基於安全,指定用來執行應用程式伺服器的使用者 ID。

密碼 [AIX Solaris HP-UX Linux Windows]

指定對應於伺服器 ID 的密碼。

LDAP 伺服器的類型

請指定要連接的 LDAP 伺服器類型。

[AIX Solaris HP-UX Linux Windows] [iSeries] 不支援 IBM® SecureWay® Directory Server。

[z/OS] z/OS® 應用程式伺服器以及許多其他 LDAP 伺服器都支援 IBM SecureWay Directory Server。

主機

請指定 LDAP 伺服器的主機 ID(IP 位址或網域名稱服務 (DNS) 名稱)。

請指定 LDAP 伺服器的主機埠。

如果要安裝和配置多部應用程式伺服器,讓它們在相同單一登入網域中執行,或如果應用程式伺服器與舊版的伺服器交互作業,則埠號必須符合所有的配置,這一點非常重要。例如,在 6.1 版配置中,如果將 LDAP 埠明確指定為 389,且 7.0 版的 WebSphere Application Server 要與 6.1 版的伺服器交互作業,這時請驗證已將埠 389 明確指定給 7.0 版伺服器。
預設值: 389
類型: 整數
基本識別名稱 (DN)

指定目錄服務的基本識別名稱 (DN),代表目錄服務的 LDAP 搜尋起點。在大部分情況下,會需要連結 DN 和連結密碼。不過,如果匿名連結可滿足所有必要的功能,則不需要連結 DN 和連結密碼。

例如,對於其 DN 為cn=John Doe , ou=Rochester, o=IBM, c=US 的使用者,請將基本 DN 指定為下列任一選項:ou=Rochestero=IBMc=USo=IBM c=USc=US。為了方便授權,這個欄位會區分大小寫。 這個規格意味,如果收到記號(例如從另一個 Cell 或 Lotus® Domino® 收到記號),伺服器中的基本 DN 必須完全符合其他 Cell 或 Lotus Domino 伺服器的基本 DN。 如果在授權時不需要考慮區分大小寫,請啟用授權不區分大小寫選項。所有輕量型目錄存取通訊協定 (LDAP) 目錄都需要這個選項,但 Lotus Domino Directory、IBM Tivoli® Directory Server 6.0 版和 Novell eDirectory 除外(它們的這個欄位是選用的)。

連結識別名稱 (DN)

請指定連結到目錄服務時所用的應用程式伺服器之 DN。

如果沒有指定名稱的話,會以匿名方式來連結應用程式伺服器。 請參閱「基本識別名稱 (DN)」欄位說明,以查看識別名稱的範例。

連結密碼

請指定連結到目錄服務時所用的應用程式伺服器之密碼。

搜尋逾時

指定在停止要求之前,輕量型目錄存取通訊協定 (LDAP) 伺服器的回應逾時值(秒)。

預設值: 120
重複使用連線

指定伺服器是否重複使用 LDAP 連線。請只在利用路由器將要求配送給多個 LDAP 伺服器及路由器不支援親緣性之類的少數情況下,才取消選取這個選項。

預設值: 已啟用
範圍: 啟用或停用
重要: 停用重複使用連線選項會使應用程式伺服器針對每個 LDAP 搜尋要求來建立新的 LDAP 連線。如果您的環境需要大量的 LDAP 呼叫,這個狀況會影響系統效能。提供這個選項的原因,是路由器不會將要求傳送到相同的 LDAP 伺服器。 當應用程式伺服器和 LDAP 之間的閒置連線逾時值或防火牆逾時值太小時,也會使用這個選項。

如果您使用 WebSphere Edge Server for LDAP 失效接手,您必須利用 Edge Server 來啟用 TCP Reset。 TCP 重設會立即關閉連線,讓備用伺服器進行失效接手。如需相關資訊,請參閱 http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER 的 "Sending TCP resets when server is down",以及 ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf 中所說明的 PTF #2 中的 Edge Server V2 - TCP Reset 特性。

授權不區分大小寫

請指定當您使用預設授權時執行不區分大小寫的授權檢查。

當選取 IBM Tivoli Directory Server 作為 LDAP 目錄伺服器時,需要這個選項。

當選取 Sun ONE Directory Server 作為 LDAP 目錄伺服器時,需要這個選項。 如需相關資訊,請參閱文件中的「使用特定目錄伺服器作為 LDAP 伺服器」。

此為選用選項,在需要進行區分大小寫的授權檢查時,您可以啟用它。比方說,當憑證和憑證內容不符合 LDAP 伺服器項目的大小寫時,請使用這個選項。 當在應用程式伺服器和 Lotus Domino 之間使用單一登入 (SSO) 時,您可以啟用授權不區分大小寫選項。

預設值: 已啟用
範圍: 啟用或停用
SSL 已啟用

請指定是否啟用「輕量型目錄存取通訊協定 (LDAP)」伺服器的 Secure Socket Communications。

如果啟用時,如果指定了 LDAP Secure Socket Layer 設定,就會使用這項設定。

集中管理

指定根據 Java™ 命名和目錄介面 (JNDI) 平台的出埠拓蹼視圖來選取 SSL 配置。

集中管理的配置支援用一個位置來維護 SSL 配置,而不是將這些配置散佈於多份配置文件中。

預設值: 已啟用
使用特定 SSL 別名

指定 LDAP 出埠 SSL 通訊要用的 SSL 配置別名。

這個選項會置換 JNDI 平台之集中管理的配置。




標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
獨立式 LDAP 登錄精靈設定


檔名: usec_singleldaprepos.html