技术开发 频道
IT168首页 > 技术开发 > 技术开发技术 > 正文

IBM WAS v8.0中LDAP集成介绍与配置

作者:冯忠旗 编辑: 申安安 2013-10-09 04:13 IT168网站 原创
分享

  【IT168 技术】在如今高度共享的互联网时代,企业会面临各种各样复杂的用户存储和管理系统,给企业IT管理带来了繁重的维护成本和问题,企业很希望信息系统能采用标准的用户注册表。轻量级目录访问协议LDAP作为企业WEB应用程序和身份基础设施的管理,能够处理百万条数目。 因此,本文主要分享在IBM WebSphere Application Server v8.0(简称WAS)中如何使用“标准LDAP注册表” 配置LDAP Server 作为管理用户的注册表并且进行LDAP用户身份认证。

  首先,本文会对LDAP和WAS中的标准LDAP注册表做一个简单的介绍,然后开始讲解IBM Tivoli Directory Server 以及如何在WAS v8.0 中配置IBM Tivoli Directory Server的详细步骤,最后会告诉您如何判断您的配置是否成功以及在配置过程中如何排错。

  对于WAS其他版本的LDAP集成,配置方法大致与此相同,只是部分有些细微的差别, 所以您也可以参考本文的步骤去完成配置。

  1. 轻量级目录访问协议(LDAP)介绍

  WAS 提供多种安全用户实现方式,目前Webshphere Application Server v8.0支持四种方式来安全认证访问的用户:

  1.1 本地操作系统用户(Local OS)

  采用本机操作系统用户验证登陆。

  1.2 标准的LDAP注册表(LDAP Register)

  需要安装LDAP服务器,比如IBM Directory Server, IBM Lotus Domino LDAP服务器,SUNNOE或者Microsoft Active Directory Server 等。

  1.3 定制注册表(Custom Register)

  当用户信息存放于非第一或者第二中注册表中时,您可以通过实现 UserRegistry 接口使用产品环境中存放用户信息使用的任何注册表。

  在当前用户和组的信息以某些其他格式(例如,数据库)存放并且无法移到本地操作系统用户或 LDAP 的情况下,请实现WAS的 UserRegistry 接口,这样 WebSphere Application Server 就可以将现有注册表用于所有与安全性相关的操作。

  注意:尽管 WebSphere Application Server 支持不同类型的用户注册表,但只能有一个用户注册表是活动的。

  1.4 联合存储库

  联合存储库是Websphere v6.1以后才有的特性,可以通过配置联合存储库,让它能够使用LDAP外部存储库进行身份认证。该存储库支持同时使用多种存储库进行身份认证,包括 IBM 提供的内置于系统的基于文件的存储库、一个或多个 JDBC 关系数据库存储库 (IBM 提供数据库表的定义和实现 )、一个或多个外部 LDAP 存储库。

  由于本地操作系统的用户本身就需要考虑安全保密的问题,而且密码会经常更改,因此不适宜用于管理控制台安全性设置。定制注册表和联合存储库的方式又太过复杂。因此我们通过标准的LDAP注册表,使用轻量级目录访问协议(LDAP)是我们推荐使用的用户注册表,它利用 LDAP 绑定执行认证。

  WebSphere Application Server 安全性能够支持多数主流 LDAP 目录服务器产品。要将 LDAP 用作用户注册表,您需要知道有效的用户名(标识)、用户密码、服务器主机和端口、基本专有名称(DN)。

  当在WAS中启用安全性时,服务启动需要输入LDAP服务器的标识和密码并由LDAP注册表认证,后面我们在‘测试LDAP是否配置成功’章节中举例说明。如果认证失败,服务器无法启动。因此,选择不会到期或不经常更改的标识和密码是很重要的。如果需要在LDAP注册表中更改WAS管理控制台的用户标识或密码,确保一定要在所有WAS服务启动并正在运行时执行更改,否则WAS将会无法正常启动。如果LDAP注册表中更改了用户标识、密码和其他配置信息,则在WAS管理控制台上也要做相关的更改,然后保存、停止并重新启动所有WAS相关服务器,以使产品使用新的标识或密码。最妥善的办法是,在更改LDAP注册表中信息之前,在WAS的管理控制台上禁用"全局安全性",等LDAP的信息修改完成,再修改WAS管理控制台和其相关的信息,然后启用安全性,再重启WAS。

  2. WAS v8.0中标准LDAP注册表介绍

  IBM WAS 可以借助管理员配置的用户帐号存储库,帮助运行在WAS上面的J2EE 应用程序以标准的J2EE认证方式进行用户身份认证。换言之,J2EE 应用程序可以使用 WAS 上面配置的用户帐号存储库进行统一的用户身份认证。下面是对WAS v8.0中的标准LDAP注册表功能展示:


▲图1 标准LDAP注册表

  3. 使用IBM Tivoli Directory Server作为LDAP服务器

  在WebSphere Application Server产品包中包括了一个专业的目录服务器IBM Tivoli Directory Server(以前的 IBM Directory Server)。IBM Tivoli Directory Server是IBM公司的LDAP目录服务器产品。该目录服务器是目前使用得最为广泛的目录服务器之一。该目录服务器为具有大量用户信息管理的企业提供 用户管理的基础服务。

  在本文的讨论中,我们假定的前提是您已经在另外一台机器上安装好了LDAP服务器,所以这里对LDAP服务器的安装不做介绍。IBM Tivoli Directory Server的安装比较简单,通过图形安装界面的向导即可,请参见其安装文档。

1
12查看全文
第1页:轻量级目录访问协议(LDAP)介绍第2页:配置Tivoli Directory Server详细步骤
相关文章
    盛拓传媒简介 关于IT168 广告服务 使用条款 投稿指南 联系我们
    北京盛拓优讯信息技术有限公司. 版权所有 中华人民共和国增值电信业务经营许可证 编号:京B2-20170206 北京市公安局海淀分局网监中心备案编号:11010802020118
    广播电视节目制作经营许可证:(京) 字第25315号 信息系统安全等级保护备案:11010813655-00001 京公网安备11010802020118号
    违法和不良信息举报电话 :010-58859066,18101376593,shengtuo20@it168.com