Nastavení samostatného registru LDAP

Prostřednictvím této stránky můžete konfigurovat nastavení služby LDAP (Lightweight Directory Access Protocol), pokud jsou uživatelé a skupiny umístěni v externím adresáři LDAP.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Úložiště uživatelského účtu klepněte na rozevírací seznam Definice dostupné sféry, vyberte volbu Samostatný registr LDAP a klepněte na tlačítko Konfigurovat.

Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, přejděte na panel Globální zabezpečení a klepnutím na tlačítko Použít změny ověřte.

Produkt WebSphere Application Server verze 7.0 rozlišuje mezi identitami uživatelů pro administrátory, kteří spravují prostředí, a identitami serverů, které slouží pro autentizaci serveru v komunikaci serverů. Identity serverů jsou ve většině případů automaticky generovány a nejsou uloženy v úložišti.

[AIX Solaris HP-UX Linux Windows] Pokud však přidáváte předchozí verzi uzlu do nové verze buňky a předchozí verze uzlu používala heslo a identitu serveru, je nutné zajistit, aby heslo a identita serveru pro předchozí verzi byly definovány v úložišti této buňky. Na tomto panelu zadejte identitu a heslo uživatele serveru.

[z/OS] Předcházení potížím: Nastavení související se zařízením SAF (System Authorization Facility) se na tomto panelu nemusí zobrazit. Chcete-li tato nastavení upravit, postupujte takto:
  1. Klepnutím na volby Zabezpečení > Globální zabezpečení > Externí poskytovatelé autorizace přejděte na panel zařízení SAF.
  2. Z rozevíracího seznamu Poskytovatel autorizace vyberte volbu SAF (System Authorization Facility).
  3. Klepněte na tlačítko Konfigurovat.
gotcha
Jméno primárního správního uživatele

Určuje jméno uživatele s administrativními oprávněními definované v registru uživatelů.

Jméno uživatele se používá při přihlašování ke konzole pro správu, je-li povoleno zabezpečení správy. Verze 6.1 a novější vyžadují administrativního uživatele lišícího se od identity uživatele serveru, aby bylo možné prověřovat akce správy.
Upozornění: V produktu WebSphere Application Server verze 5.1 a 6.0.x je pro administrativní přístup a interní komunikaci procesů vyžadována jedna identita uživatele. Při migraci na verzi 7.0 je tato identita použita jako identita uživatele serveru. Je třeba určit jiného uživatele pro identitu administrativního uživatele.
[z/OS] Poznámka: Konfigurujete-li registr LDAP jako registr uživatelů a je-li povoleno ověřování SAF, pak při nastavení vlastnosti com.ibm.security.SAF.authorization na hodnotu true se pole Jméno primárního správního uživatele v konzole pro správu nezobrazí.
Automaticky generovaná identita serveru

Povoluje aplikačnímu serveru vygenerovat identitu serveru, což se doporučuje pro prostředí obsahující pouze uzly verze 6.1 nebo novější. Automaticky generované identity serveru nejsou ukládány v úložišti uživatele.

Výchozí hodnota: Povoleno
Identita serveru uložená v úložišti [AIX Solaris HP-UX Linux Windows] [iSeries]

Určuje identitu uživatele v úložišti používaném pro komunikaci interních procesů. Buňky obsahující uzly verze 5.1 nebo 6.0.x vyžadují identitu uživatele serveru definovanou v aktivním úložišti uživatelů.

Výchozí hodnota: Povoleno
Jméno uživatele nebo správního uživatele serveru v uzlu verze 6.0.x. [AIX Solaris HP-UX Linux Windows]

Určuje jméno uživatele používané ke spouštění aplikačního serveru pro účely zabezpečení.

Heslo [AIX Solaris HP-UX Linux Windows]

Určuje heslo odpovídající ID serveru.

Typ serveru LDAP

Určuje typ serveru LDAP, ke kterému se připojujete.

[AIX Solaris HP-UX Linux Windows] [iSeries] Produkt IBM SecureWay Directory Server není podporován.

[z/OS] Aplikační server pro platformu z/OS podporuje produkt IBM SecureWay Directory Server i řadu dalších serverů LDAP.

Hostitel

Určuje ID hostitele (adresa IP nebo název DNS (Domain Name Service)) serveru LDAP.

Port

Určuje port hostitele serveru LDAP.

Pokud je pro spuštění ve stejné doméně jednotného přihlášení nainstalováno a nakonfigurováno více aplikačních serverů nebo pokud aplikační server spolupracuje s předchozí verzí, je důležité, aby číslo portu odpovídalo všem konfiguracím. Pokud je například port LDAP explicitně uveden jako 389 v konfiguraci verze 6.1 a s tímto serverem ve verzi 7.0 bude spolupracovat server WebSphere Application Server ve verzi 6.1, ověřte, zda je port 389 zadán explicitně pro server verze 7.0.
Výchozí hodnota: 389
Typ: Celé číslo
Základní rozlišující název (DN)

Určuje základní rozlišující název (DN) adresářové služby, který představuje počáteční bod, z něhož protokol LDAP vychází při hledání v adresářové službě. Ve většině případů je vyžadován rozlišující název vazby a heslo vazby. Pokud však může anonymní vazba poskytnout všechny požadované funkce, není rozlišující název vazby a heslo vazby vyžadováno.

Pro uživatele s rozlišujícím názvem (DN) cn=John Doe, ou=Rochester, o=IBM, c=US můžete například určit základní rozlišující název jako některou z následujících voleb: ou=Rochester, o=IBM, c=US nebo o=IBM c=US nebo c=US. V tomto poli jsou z důvodů autorizace rozlišována velká a malá písmena. Tato specifikace určuje, že pokud je přijat token například z jiné buňky nebo ze serveru Lotus Domino, musí základní rozlišující název u serveru přesně odpovídat základnímu rozlišujícímu názvu z této druhé buňky nebo serveru Lotus Domino. Pokud při autorizaci není třeba rozlišovat velká a malá písmena, povolte volbu Při autorizaci ignorovat velká a malá písmena. Tato volba je vyžadována pro všechny adresáře LDAP (Lightweight Directory Access Protocol) s výjimkou adresáře serveru Lotus Domino Directory, IBM Tivoli Directory Server V6.0 a Novell eDirectory, kde je toto pole nepovinné.

Rozlišující název požadavku BIND (DN)

Určuje rozlišující název pro aplikační server, který má být použit při vytváření vazeb s adresářovou službou.

Není-li zadán název, aplikační server použije anonymní vazbu. V popisu pole Základní rozlišující název (DN) naleznete příklady těchto názvů.

Heslo požadavku BIND

Určuje heslo pro aplikační server, které má být použito při vytváření vazeb s adresářovou službou.

Časový limit hledání

Určuje hodnotu časového limitu (v sekundách), ve kterém musí server LDAP (Lightweight Directory Access Protocol) odpovědět na požadavek. Po vypršení tohoto limitu je zpracování požadavku zastaven.

Výchozí hodnota: 120
Používat připojení opakovaně

Určuje, zda server znovu použije připojení LDAP. Zaškrtnutí tohoto políčka zrušte pouze ve výjimečných situacích, kdy se směrovač používá k distribuci požadavků na více serverů LDAP a kdy směrovač nepodporuje afinitu.

Výchozí hodnota: Povoleno
Rozsah: Povoleno nebo Zakázáno
Důležité: Zakázání volby Používat připojení opakovaně způsobí, že aplikační server bude vytvářet nové připojení LDAP pro každý požadavek na hledání LDAP. Tato situace má dopad na výkon systému, pokud dané prostředí vyžaduje rozsáhlá volání LDAP. Tato volba je k dispozici, protože směrovač neodesílá požadavek na stejný server LDAP. Tato volba se také používá, pokud je mezi aplikačním serverem a serverem LDAP nastavena příliš nízká hodnota časového limitu nečinného připojení a hodnota časového limitu ochranné bariéry (firewall).

Používáte-li server WebSphere Edge Server pro překonání selhání LDAP, je třeba na serveru Edge povolit obnovení protokolu TCP. Obnovení protokolu TCP způsobí okamžité ukončení připojení a překonání selhání pomocí záložního serveru. Další informace naleznete v tématu Sending TCP resets when server is down (Odeslání obnovení protokolu TCP při nečinnosti serveru) na webu http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER a v informacích o funkci Edge Server V2 - TCP Reset v opravě PTF č. 2 popsané na serveru: ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf.

Při autorizaci ignorovat velká a malá písmena

Určuje, že se při kontrole autorizace ve výchozím nastavení nerozlišují velká a malá písmena.

Tato volba je vyžadována, pokud je jako adresářový server LDAP vybrán server IBM Tivoli Directory Server.

Tato volba je vyžadována, pokud je jako adresářový server LDAP vybrán server Sun ONE Directory Server. Další informace naleznete v tématu Použití konkrétních adresářových serverů jako serveru LDAP v dokumentaci.

Tato volba je volitelná a lze ji povolit, pokud je vyžadována kontrola autorizace s rozlišením velkých a malých písmen. Tuto volbu například použijte, pokud certifikáty a jejich obsah neodpovídají z hlediska použití velkých a malých písmen zadání serveru LDAP. Volbu Při autorizaci ignorovat velká a malá písmena můžete aktivovat při použití jednotného přihlášení (SSO) mezi aplikačním serverem a serverem Lotus Domino.

Výchozí hodnota: Povoleno
Rozsah: Povoleno nebo Zakázáno
Povolit zabezpečení SSL

Určuje, zda je povoleno zabezpečení komunikace se serverem LDAP (Lightweight Directory Access Protocol) pomocí protokolu SSL.

Pokud je tato volba vybrána, bude použito nastavení SSL (Secure Sockets Layer) protokolu LDAP, je-li zadáno.

Centrální správa

Určuje, že výběr konfigurace protokolu SSL bude založen na zobrazení odchozí topologie platformy rozhraní JNDI (Java Naming and Directory Interface).

Centrálně spravované konfigurace podporují jedno umístění pro údržbu konfigurací SSL. Nedochází tedy k jejich rozptýlení do různých konfiguračních dokumentů.

Výchozí hodnota: Povoleno
Použít specifický alias SSL

Určuje alias konfigurace SSL, který má být používán pro odchozí komunikaci služby LDAP prostřednictvím protokolu SSL.

Tato volba potlačí centrálně spravovanou konfiguraci pro platformu JNDI.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení průvodce pro samostatný registr LDAP


Název souboru: usec_singleldaprepos.html