Настройка LDAP

Перед тем как, настроить WebSphere Portal для работы с сервером LDAP, необходимо добавить в реестр пользователей LDAP минимальный объем информации о пользователях и группах. В этом разделе описаны процедуры настройки сервера LDAP для работы с WebSphere Portal и приведены ссылки на дополнительные процедуры, уникальные для каждого поддерживаемого сервера LDAP.

• Обязательные группы и пользователи
• Администраторы портала
• Пример пользовательской структуры каталогов

Обязательные группы и пользователи

Для WebSphere Portal требуются по крайней мере одна группа и один пользователь. В зависимости от уже установленного и настроенного программного обеспечения, могут потребоваться дополнительные учетные записи пользователей. Это могут быть существующие учетные записи пользователей, которые вы хотите применять в WebSphere Portal, или новые записи.

Обязательная группа - wpsadmins или эквивалентная ей. Это первая группа администраторов в WebSphere Portal. У членов этой группы есть административные права доступа в WebSphere Portal. Предполагается, что первая учетная запись администратора, имя которой совпадает с ИД пользователя администратора WebSphere Portal, будет входить в группу wpsadmins в каталоге, однако, вообще говоря, WebSphere Portal не требует этого.

Если функции управления информационным наполнением уже настроены, рекомендуется дополнительно создать следующие группы LDAP:

wpsContentAdministrators wpsDocReviewer

Ниже приведено описание обязательных учетных записей пользователей:

Примечание: Одно и то же имя пользователя можно использовать для различных целей.

1. Администратор WebSphere Portal. Это первая учетная запись администратора в WebSphere Portal. Она также входит в группу wpsadmins.
2. Для защиты WebSphere Application Server необходимо указать имя и пароль учетной записи ИД сервера защиты. Эта учетная запись добавляется в конфигурацию WebSphere Application Server. Она становится первым ИД, применяемым для администрирования WebSphere Application Server. Если эта учетная запись отличается от следующих учетных записей доступа к LDAP, то ей не требуется никаких особых прав доступа к реестру пользователей LDAP.
3. Учетная запись WebSphere Application Server для доступа к LDAP. Этот идентификатор применяется WebSphere Application Server для доступа к реестру пользователей LDAP. Если оставить без изменения значения по умолчанию отличительного имени связывания WebSphere Application Server в файле wpconfig.properties, то в качестве отличительного имени при связывании будет применяться значение wpsbind. Ниже указаны требуемые права доступа для этой учетной записи в реестре пользователей:
   • Запись: Если вы хотите разрешить пользователям или администраторам портала создавать и изменять атрибуты каталога с помощью средств самостоятельной регистрации и меню для самостоятельной работы, либо с помощью портлета Управление пользователями и группами, то пользователю с DN связывания (LDAPBindID) должны быть предоставлены права на запись и поиск по отношению ко всему реестру пользователей LDAP, который применяется WebSphere Portal, либо по отношению к поддереву этого каталога, начинающемуся с суффикса LDAP.
   • Чтение: Если вы не планируете записывать данные в реестр пользователей, используя функции WebSphere Portal, и стратегии защиты реестра пользователей запрещают выполнять анонимный поиск в каталоге, то пользователю с DN связывания (LDAPBindID) должны быть предоставлены права на чтение и поиск по отношению к реестру пользователей LDAP, который используется WebSphere Portal, или по отношению к поддереву этого каталога, начинающемуся с суффикса LDAP.
4. (Этот ИД не требуется для работы с LDAP с поддержкой областей) : Учетная запись доступа к LDAP, применяемая Member Manager для работы с каталогом LDAP. Это не обязательно должен быть идентификатор администратора каталога - достаточно идентификатора с правами доступа, требуемыми для выполнения в каталоге операций WebSphere Portal.

   Примечание: Если WebSphere Portal должен выполнять только чтение из каталога, без обновлений, достаточно идентификатора пользователя с правами на чтение. Если WebSphere Portal должен обновлять каталог (создавать пользователей или изменять пользовательские профайлы), необходим идентификатор пользователя с правами на запись.

5. Пользователь WmmSystemId применяется для защиты специализированных объектов Java Bean Member Manager.

Примечание: Если в качестве сервера LDAP применяется Domino Directory, ознакомьтесь с подробными сведениями о добавлении пользователей с особыми правами доступа в домен Domino, приведенными в разделе Добавление администраторов портала в Domino Directory.

Администраторы портала

Вы можете выбрать существующего пользователя LDAP, который сможет выполнять функции администратора портала.

Для создания нового пользователя с правами администратора портала, необходимо сначала создать соответствующую учетную запись пользователя. Для создания нового пользователя с правами администратора портала воспользуйтесь средствами администрирования портала. Документация по созданию администратора портала приведена в разделе, соответствующем применяемому серверу каталогов.

Примечание: Префиксы относительного отличительного имени (RDN) LDAP, например, cn=, uid= или ou=, следует вводить строчными буквами. Использование символов верхнего или смешанного регистра может привести к возникновению сбоев при последующей обработке запросов к базе данных реестра пользователей и базам данных WebSphere Portal.

Пример пользовательской структуры каталогов

Ниже приведен пример возможной структуры LDAP. Она отличается от указанной ранее структуры по умолчанию по нескольким параметрам. Она сложнее, чем деревья LDAP в предыдущих примерах, т.е. в ней больше уровней имен между корнем и листьями дерева. Кроме того, она шире, т.е. пользователи и группы расположены в большем числе мест в дереве. Наконец, пользователи и группы являются сестрами, т.е. дочерними объектами общего родительского объекта в структуре. Однако WebSphere Portal можно настроить для работы с этой структурой реестра пользователей LDAP. Этот пример поможет вам выбрать правильные значения в ходе установки и настройки WebSphere Portal в соответствии с требуемой структурой каталога.

Суффикс LDAP="o=ibm" или, для портала, предназначенного только для США, это может быть "ou=raleigh,o=ibm" Префикс пользователя="uid" Суффикс пользователя="o=ibm" или, для портала, предназначенного только для США, это может быть "ou=raleigh,o=ibm" Префикс группы="cn" Префикс группы="o=ibm", или, для портала, предназначенного только для США, "ou=raleigh,o=ibm" DN администратора портала= "uid=hsmith,ou=portlets,ou=raleigh,o=ibm" Группа администраторов портала= "cn=group1,ou=portlets,ou=raleigh,o=ibm"

Дальнейшие действия

В следующем списке выберите сервер LDAP, который необходимо настроить:

• IBM Tivoli Directory Server
• Domino Directory
• Active Directory
• Sun ONE
• Novell eDirectory