Einstellungen für eigenständige LDAP-Registry

Verwenden Sie diese Seite, um für den Fall, dass sich Benutzer und Gruppen in einem externen LDAP-Verzeichnis befinden, LDAP-Einstellungen zu konfigurieren.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realm-Definitionen. Wählen Sie Eigenständige LDAP-Registry aus, und klicken Sie auf Konfigurieren.

Wenn die Sicherheit aktiviert ist und eine dieser Eigenschaften geändert wird, rufen Sie die Anzeige "Globale Sicherheit" auf, und klicken Sie auf Anwenden, um die Änderungen zu prüfen.

WebSphere Application Server Version 7.0 unterscheidet zwischen den Benutzeridentitäten für Administratoren, die die Umgebung verwalten, und Serveridentitäten für die Authentifizierung der Kommunikation zwischen Servern. In den meisten Fällen werden Serveridentitäten automatisch generiert und sind nicht in einem Repository gespeichert.

[AIX Solaris HP-UX Linux Windows] Wenn Sie der Zelle der aktuellen Version jedoch einen Knoten einer früheren Version hinzufügen und für den Knoten der früheren Versione iner Server-ID und ein Serverkennwort verwendet wurde, müssen Sie sicherstellen, dass die Server-ID und das Serverkennwort für die frühere Version im Repository für diese Zelle definiert sind. Geben Sie in dieser Anzeige die Benutzer-ID und das Kennwort für den Server ein.

[z/OS] Fehler vermeiden: Einstellungen, ´die sich auf System Authorization Facility (SAF) beziehen, sind in dieser Anzeige möglicherweise nicht sichtbar. Gehen Sie zum Ändern dieser Einstellungen wie folgt vor:
  1. Wechseln Sie in die Anzeige für SAF, indem Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider klicken.
  2. Wählen Sie in der Dropdown-Liste unter der Option "Berechtigungsprovider" den Eintrag System Authorization Facility (SAF) aus.
  3. Klicken Sie auf Konfigurieren.
gotcha
Name des primären Benutzers mit Verwaltungsaufgaben

Gibt den Namen eines Benutzers mit Administratorrechten an, der in Ihrer Benutzer-Registry definiert ist.

Der Benutzername wird bei aktivierter Verwaltungssicherheit verwendet, um die Anmeldung an der Administrationskonsole durchzuführen. Version 6.1 und höher setzt einen Benutzer mit Verwaltungsaufgaben voraus, der sich von der Serverbenutzeridentität unterscheidet, damit die Verwaltungsaktionen überwacht werden können.
Achtung: In WebSphere Application Server Version 5.1 und 6.0.x muss dieselbe Benutzeridentität für Verwaltungszugriffe und die interne Prozesskommunikation verwendet werden. Wenn Sie eine Migration auf Version 7.0 durchführen, wird diese Identität als Serverbenutzeridentität verwendet. Für den Benutzer mit Verwaltungsaufgaben muss eine andere Benutzeridentität angegeben werden.
[z/OS] Anmerkung: Wenn Sie LDAP als Benutzer-Registry konfigurieren, SAF aktiviert und die Eigenschaft com.ibm.security.SAF.authorization auf true gesetzt ist, wird das Feld "Name des primären Benutzers mit Verwaltungsaufgaben" nicht in der Administrationskonsole angezeigt.
Automatisch generierte Server-ID

Ermöglicht dem Anwendungssesrver, die Serveridentität zu generieren. Dies wird für Umgebungen empfohlen, die nur Knoten der Version 6.1 oder höher enthalten. Automatisch generierte Serveridentitäten werden nicht in einem Benutzer-Repository gespeichert.

Standardeinstellung Aktiviert
Im Repository gespeicherte Server-ID [AIX Solaris HP-UX Linux Windows] [iSeries]

Gibt eine Benutzer-ID im Repository an, die für die interne Prozesskommunikation verwendet wird. Zellen, die Knoten der Version 5.1 oder 6.0.x enthalten, erfordern eine Serverbenutzer-ID, die im aktiven Benutzer-Repository definiert ist.

Standardeinstellung Aktiviert
Serverbenutzer-ID oder Benutzer mit Verwaltungsaufgaben auf einem Knoten der Version 6.0.x [AIX Solaris HP-UX Linux Windows]

Gibt die Benutzer-ID an, die für die Ausführung des Anwendungsservers in einem Sicherheitskontext verwendet wird.

Kennwort [AIX Solaris HP-UX Linux Windows]

Gibt das Kennwort an, das der ID des Sicherheitsservers entspricht.

Typ des LDAP-Servers

Gibt den typ des LDAP-Servers an, zu dem Sie die Verbindung herstellen.

[AIX Solaris HP-UX Linux Windows] [iSeries] IBM SecureWay Directory Server wird nicht unterstützt.

[z/OS] IBM SecureWay Directory Server wird vom Anwendungsserver für z/OS und vielen anderen LDAP-Servern unterstützt.

Host

Gibt die Host-ID (IP-Adresse oder DNS-Name) des LDAP-Servers an.

Port

Gibt den Hostport des LDAP-Servers an.

Wenn mehrere Anwendungsserver Server installiert und für die Ausführung in derselben SSO-Domäne konfiguriert sind oder der Anwendungsserver Server mit einer älteren Version des WebSphere Application Server interagiert, muss die Portnummer in allen Konfigurationen identisch sein. Beispiel: Wenn der LDAP-Port in einer Konfiguration der Version 6.1 explizit auf 389 eingestellt ist und ein WebSphere Application Server Version 7.0 mit dem Server der Version 6.1 interagieren soll, muss der Port 389 auch explizit für den Server der Version 7.0 angegeben werden.
Standardeinstellung 389
Typ: Integer
Basis-DN

Gibt den definerten Basisnamen des Verzeichnisservice an und legt den Ausgangspunkt für LDAP-Suchvorgänge des Verzeichnisservice fest. In den meisten Fällen sind der Bind-DN und das Bind-Kennwort erforderlich. Wenn mit anonymem Bind jedoch alle erforderlichen Funktionen abgedeckt werden, sind kein Bind-DN und kein Bind-Kennwort erforderlich.

Für einen Benuter mit dem DN cn=John Doe , ou=Rochester, o=IBM, c=US können Sie den Basis-DN wie folgt angeben: ou=Rochester, o=IBM, c=US oder o=IBM c=US oder c=US. Bei den Werten in diesem Feld wird für die Berechtigung zwischen Groß- und Kleinschreibung unterschieden. Wenn beispielsweise ein Token von einer anderen Zelle oder von Lotus Domino empfangen wird, muss also der Basis-DN des Servers exakt mit dem Basis-DN der anderen Zelle oder von Lotus Domino übereinstimmen. Falls die Unterscheidung von Groß-/Kleinschreibung bei der Berechtigung unerwünscht ist, können Sie die Option Groß-/Kleinschreibung ignorieren aktivieren. Diese Option ist für alle LDAP-Verzeichnisse (Lightweight Directory Access Protocol) außer Lotus Domino Directory, IBM Tivoli Directory Server Version 6.0 und Novell eDirectory erforderlich. Bei Lotus Domino Directory ist das Feld optional.

Bind-DN

Gibt das Kennwort des Anwendungsservers an, das bei der Bindung an den Verzeichnisservice verwendet werden soll.

Falls keine Name angegeben wird, stellt der Anwendungsserver die Bindung anonym her. In der Beschreibung des Feldes "Definierter Basis-Name" finden Sie Beispiele für definierte Namen.

Kennwort für Bindung

Gibt das Kennwort des Anwendungsservers an, das bei der Bindung an den Verzeichnisservice verwendet werden soll.

Suchzeitlimit

Gibt das Zeitlimit eines LDAP-Servers für die Reaktion auf eine Anforderung a (in Sekunden). Nach Erreichen des Zeitlimits wird die Anforderung gestoppt.

Standardeinstellung 120
Verbindung wiederverwenden

Gibt an, ob der Server die LDAP-Verbindung wiederverwenden soll. Inaktivieren Sie diese Option in den seltenen Fällen, in denen ein Router Anforderungen an mehrere LDAP-Server verteilt oder keine Affinität unterstützt.

Standardeinstellung Aktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert
Wichtig: Wenn die Option Verbindung wiederverwenden inaktiviert wird, erstellt der Anwendungsserver für jede LDAP-Suchanforderung eine neue LDAP-Verbindung. Dies wirkt sich auf die Systemleistung aus, wenn in der Umgebung sehr viele LDAP-Aufrufe abgesetzt werden. Die Option wird bereitgestellt, weil der Router die Anforderung nicht an denselben LDAP-Server sendet. Die Option wird auch verwendet, wenn das Inaktivitätszeitlimit für die Verbindung oder das Zeitlimit für die Firewall zwischen dem Anwendungsserver und LDAP zu klein ist.

Wenn Sie WebSphere Edge Server für LDAP-Failover verwenden, müssen Sie TCP-Rücksetzanforderungen in Edge Server konfigurieren. Bei einer TCP-Rücksetzanforderung wird die Verbindung sofort geschlossen und ein Failover auf den Backup-Server durchgeführt. Nähere Informationen finden Sie im Abschnitt zu TCP-Rücksetzanforderungen beim gestoppten Server im http://www.ibm.com/software/webservers/appserv/doc/v50/ec/infocenter/edge/LBguide.htm#HDRRESETSERVER und in den Informationen zur TCP-Rücksetzfunktion in Edge Server Version PTF 2, die in der Veröffentlichung ftp://ftp.software.ibm.com/software/websphere/edgeserver/info/doc/v20/en/updates.pdf beschrieben ist.

Groß-/Kleinschreibung für Berechtigung ignorieren

Gibt an, dass eine Berechtigungsprüfung ohne Berücksichtigung der Groß-/Kleinschreibung durchgeführt wird, wenn Sie die Standardberechtigung verwenden.

Diese Option ist erforderlich, wenn IBM Tivoli Directory Server als LDAP-Verzeichnisserver ausgewählt ist.

Diese Option ist erforderlich, wenn Sun ONE Directory Server als LDAP-Verzeichnisserver ausgewählt ist. Weitere Informationen hierzu finden Sie im Artikel "Spezifische Verzeichnisserver als LDAP-Server verwenden" in der Dokumentation.

Diese Option ist optional und kann aktiviert werden, wenn im Hinblick auf die Berechtigung eine Überprüfung der Groß-/Kleinschreibung erfolgen soll. Beispiel: Sie verwenden Zertifikate, und der Zertifikatinhalt stimmt nicht mit der Groß-/Kleinschreibung des Eintrags im LDAP-Server überein. Sie können die Option Groß-/Kleinschreibung ignorieren aktivieren, wenn Sie zwischen dem Anwendungsserver und Lotus Domino SSO (Single Sign-On) verwenden.

Standardeinstellung Aktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert
SSL aktiviert

Gibt an, ob die SSL-Übertragung für den LDAP-Server aktiviert ist.

Bei Aktivierung werden die angegebenen SSL-Einstellungen für LDAP verwendet.

Zentral verwaltet

Gibt an, dass die Auswahl einer SSL-Konfiguration (Secure Sockets Layer) auf der Ansicht der abgehenden Topologie für die JNDI-Plattform (Java Naming and Directory Interface) basiert.

Zentral verwaltete Konfigurationen unterstützen einen Standort bei der Verwaltung von SSL-Konfigurationen und verteilen diese nicht auf die Konfigurationsdokumente.

Standardeinstellung Aktiviert
Speziellen SSL-Alias verwenden

Gibt den SSL-Konfigurationsalias an, der für abgehende SSL-Kommunikation über LDAP verwendet werden soll.

Diese Option überschreibt die zentral verwaltete Konfiguration für die JNDI-Plattform.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Einstellungen für Assistenten für eigenständige LDAP-Registry


Dateiname: usec_singleldaprepos.html