|
级别: 初级
李 珂嘉, IBM 中国资深软件工程师, IBM Software Group
2007 年 3 月 21 日
本文本着实用的目的,介绍在WebSphere Application Server Network Deployment V6.0.x的环境中如何结合IBM Tivoli Directory Server V5.2保护WAS的管理服务器。
1 摘要
在WebSphere
Application Server
V6.0.x的环境中,其管理服务缺省是未启用安全性的。在生产环境中,这样的缺省设置一定要注意。其带来的直接影响就是:WAS的管理控制台并不要求验
证用户名密码就能登陆,进行所有的管理操作。鉴于生产环境的重要性,保护WAS的管理服务,是一定要采取的必要行动。
WAS
的许多文章都讨论了如何启用安全性,如何利用各种用户注册表来进行安全性验证。由于在ND的环境中,SWAM(简单WebSphere认证机制)是不支持
的,因此"LTPA(轻量级第三方认证) +
LDAP(轻量级目录访问协议)用户注册表"是我们保护WAS的首选方式。本文本着实用的目的,介绍在WebSphere Application
Server Network Deployment V6.0.x的环境中如何结合IBM Tivoli Directory Server
V5.2保护WAS的管理服务器。
2 引言
本
文讨论如何启用WebSphere Application Server Network Deployment
V6.0.x的全局安全性,并使用IBM Tivoli Directory Server
V5.2作为管理用户的注册表。这种情况适用于配置了集群的WAS
ND环境。本文只简单讨论了WAS全局安全性的启用,并未深入讨论其对部署在WAS中应用的影响。如果相要进一步了解这方面的内容,请参看WAS的在线文
档:InfoCenter。
因此本文适用于应用的安全性是自行开发实现,并没有使用J2EE和WAS安全框架的情况。
本文的示例基于AIX操作系统,供大家参考。
3 如何保护WAS及其相关的环境
3.1 WAS ND 安装拓扑:
下图显示了用于 WebSphere Application Server Network Deployment 安装的典型集群多层企业计算环境。
当启用了WAS的全局安全性后,登陆WAS的管理控制台会启用SSL,而在WAS中HTTPS 端口配置缺省使用的是自签署证书: DummyServerKeyFile.jks 和 DummyServerTrustFile.jks。
但使用这样的虚密钥和信任文件证书不安全,并且会在一定时间后过期,在生产环境,您必须生成自己的证书,以立即替换虚密钥。
集群(Cluster)的WAS ND环境示意图
3.2 全局和管理安全性:
WebSphere Application Server 内部通信通过 CSIv2 和安全认证服务(SAS)安全协议以及 HTTP 和 HTTPS 协议彼此交互。
启
用 WebSphere Application Server
全局安全性时,可以同时配置相关的协议以使用安全套接字层(SSL)。启用全局安全性后,每台服务器中的 WebSphere Application
Server 管理子系统在进行配置和同步时,所采用的SOAP JMX 连接器会使用 HTTPS 协议。因此建议您启用全局安全性并启用 SSL
以保护您的配置数据。
启用全局安全性后,可以通过去掉"全局安全性"页面上的"启用全局安全性"选项来禁用每个应用程序服务器上的应用程序安全性。请从管理控制台,单击"安全性 > 全局安全性"访问"全局安全性"页面。
3.3 基于角色的安全性:
WebSphere Application Server的管理系统定义了四个管理安全性角色:
1. 监控员角色
监控员可以查看配置信息和状态,但是不能进行任何更改。
2. 操作员角色
操作员可以更改运行时状态(例如启动应用程序服务器或停止应用程序),但是不能进行配置更改。
3. 配置者角色
配置者可以修改配置信息,但是不能更改运行时的状态。
4. 管理员角色
管理员上述三种角色的权力,可以修改安全配置和安全策略(例如,设置服务器标识和密码)、启用或禁用全局安全性和 Java 2 安全性,以及将用户和组映射到管理员角色。
4 管理控制台用户注册表
WebSphere Application Server 提供几种安全用户实现方式,目前一般采用三种方式来安全认证访问用户:
1. 本地操作系统用户(Local OS)
采用本机操作系统用户验证登录。
2. LDAP
需要安装LDAP服务器,比如IBM Directory Server、Lotus Domino LDAP 服务器、SunONE 或 iPlanet Directory Server、Microsoft Active Directory Server等。
3. 定制注册表(Custom Register)
当用户信息存放于非第一或者第二中注册表中时,您可以通过实现 UserRegistry 接口使用产品环境中存放用户信息使用的任何注册表。
在
当前用户和组的信息以某些其他格式(例如,数据库)存放并且无法移到本地操作系统用户或 LDAP 的情况下,请实现WAS的
UserRegistry 接口,这样 WebSphere Application Server 就可以将现有注册表用于所有与安全性相关的操作。
注意:尽管 WebSphere Application Server 支持不同类型的用户注册表,但只能有一个用户注册表是活动的。
在本文讨论的安全策略中,由于本地操作系统的用户本身就需要考虑安全保密的问题,而且密码会经常更改,因此不适宜用于管理控制台安全性设置。定制注册表的方式又太过复杂。因此本方案建议采用LDAP的方式进行用户管理注册。
4.1 轻量级目录访问协议(LDAP)
轻量级目录访问协议(LDAP)是我们推荐使用的用户注册表,它利用 LDAP 绑定执行认证。
WebSphere Application Server 安全性能够支持多数主流 LDAP 目录服务器产品。要将 LDAP 用作用户注册表,您需要知道有效的用户名(标识)、用户密码、服务器主机和端口、基本专有名称(DN)。
当
在WAS中启用安全性时,服务启动需要输入LDAP服务器的标识和密码并由LDAP注册表认证。如果认证失败,服务器无法启动。因此,选择不会到期或不经
常更改的标识和密码是很重要的。如果需要在LDAP注册表中更改WAS管理控制台的用户标识或密码,确保一定要在所有WAS服务启动并正在运行时执行更
改,否则WAS将会无法正常启动。
如果LDAP注册表中更改了用户标识、密码和其他配置信息,则在WAS管理
控制台上也要做相关的更改,然后保存、停止并重新启动所有WAS相关服务器,以使产品使用新的标识或密码。最妥善的办法是,在更改LDAP注册表中信息之
前,在WAS的管理控制台上禁用"全局安全性",等LDAP的信息修改完成,再修改WAS管理控制台和其相关的信息,然后启用安全性,再重启WAS。
4.2 使用 IBM Tivoli Directory Server 作为 LDAP 服务器
在WebSphere
Application Server产品包中包括了一个专业的目录服务器IBM Tivoli Directory Server(以前的 IBM
Directory Server)。IBM Tivoli Directory
Server是IBM公司的LDAP目录服务器产品。该目录服务器是目前使用得最为广泛的目录服务器之一。该目录服务器为具有大量用户信息管理的企业提供
用户管理的基础服务。
在本例中,由于IBM Tivoli Directory
Server中存放的信息只用于管理控制台的安全性,应用并未使用,因此,只存放了少量的用于管理控制台的用户信息。另外,IBM Tivoli
Directory Server启动与否只影响WebSphere Application
Server进程的启停和管理控制台的登录,并不影响应用的运行。
重要: 建议您不要在安装
WebSphere Application Server V6.x 的同一机器上安装 IBM Tivoli Directory Server
V5.2。 如果 IBM Tivoli Directory Server V5.2 和 WebSphere Application
Server V6.x 安装在同一机器上,您可能遇到端口冲突。
在本文讨论"管理LDAP"的章节,会谈到如果 IBM Tivoli Directory Server V5.2 和 WebSphere Application Server V6.x 安装在同一机器上,需要做哪些更改以解决这些端口冲突。
IBM Tivoli Directory Server的安装比较简单,通过图形安装界面的向导即可。请参见其安装文档。
Tivoli
Directory Server需要DB2存放数据。DB2可以从IBM Tivoli Directory
Server的安装包中一起安装。本文为了简单起见,在安装IBM Tivoli Directory Server之前,请先确定已经安装了DB2
Version 8.1 FixPak 2。
在AIX操作系统上安装,请从安装介质的根目录中输入:./setup
4.3 配置管理Tivoli Directory Server
4.3.1 准备数据库用户
以AIX系统为例,如果Tivoli Directory Server的底层DB2数据库未事先安装,而是在Tivoli Directory Server安装时一起安装的,请执行下列操作系统的命令。如果已经实现安装配置了DB2,请跳过此节,参看下一节。
1. 创建组db2iadm1:
2. 创建用户db2inst1,该用户是组db2iadm1 和idsldap(或者ldap)的成员:
mkuser pgrp=db2iadm1 groups=db2iadm1,idsldap home=/home/db2inst1 db2inst1
|
如果上述命令执行不成功,可以用下面这句:
mkuser pgrp=db2iadm1 groups=db2iadm1,ldap home=/home/db2inst1 db2inst1
|
3. 为db2inst1设置password:
4. 将root 用户加入组 db2iadm1:
/usr/bin/chgrpmem -m + root db2iadm1
|
4.3.2 配置LDAP:
1. 执行/usr/ldap/bin/ldapxcfg,启动LDAP的图形化配置界面。
2. 设置LDAP的管理员 DN/password,这里密码设为"password":
3. 配置LDAP的底层数据库,请按照如下步骤和截图上的信息输入:
a) 步骤一
b) 步骤二
c) 步骤三
d) 步骤四
e) 步骤五:选择数据库文件所在的路径。
注意,如果没有root用户权限,则请把该数据库文件的路径放在/home/db2inst1下,而不是下图中示意的路径:
f) 步骤六
g) 配置成功:
4. 管理后缀:
该步骤是为WAS的管理用户创建一个新的后缀(也就是WAS的管理用户信息的根。在本例中,WAS管理用户信息在LDAP中的子树的根为o=test)。该示例为:o=test
4.3.3 管理LDAP
1. 启动和停止管理守护程序
缺省情况下,LDAP安装好后,管理守护程序就自动启动了。如果要手工启动和停止,参看下列方法:
a) 启动Tivoli Directory Server目录管理守护程序,请执行该命令:
b) 停止Tivoli Directory Server目录管理守护程序,请执行该命令:
ibmdirctl -D <adminDN> -w <adminPW> admstop
|
(注意,在本例中,<adminDN>为cn=root, <adminPW>为password)
或者使用:
ps -ef | grep ibmdiradm
kill -p <pid obtained by previous command>
|
2. LDAP管理
a) 解决开始管理之前的端口冲突:
本文一开始介绍过,建议IBM Tivoli Directory Server V5.2 和 WebSphere Application Server V6.x 不要安装在同一机器上。如果您是这种情况,请跳过该步骤,从步骤b)开始。
本步骤针对LDAP服务器和WAS ND服务器同在一台服务器的情况。
TDS采用WebSphere Application Server - Express实现管理服务,会和WAS ND产生端口冲突。因此在开始前请一定更改WebSphere Application Server - Express的缺省端口号。
WebSphere Application Server - Express 使用6个缺省端口设置
i. Http 传输端口1:9080
ii. Http 传输端口2:9443
iii. Bootstrap/rmi 端口:2809
iv. Soap 联接器端口:8880
v. 管理端口9090,和AIX的服务冲突
vi. 管理端口的加密端口9043
在TDS中,WebSphere Application Server - Express 的安装目录是"/usr/ldap/appsrv",请在如下目录的三个文件中,找到上述6个端口号,更改为不会和其它服务冲突的端口:
- /usr/ldap/appsrv/config/cells/DefaultNode/nodes/DefaultNode/servers/server1/server.xml
- /usr/ldap/appsrv/config/cells/DefaultNode/virtualhosts.xml
- /usr/ldap/appsrv/config/cells/DefaultNode/nodes/DefaultNode/serverindex.xml
在AIX上执行如下命令,找到6个没有被占用的端口号:
- netstat -na | grep 9070
- netstat -na | grep 9477
- netstat -na | grep 2801
- netstat -na | grep 8770
- netstat -an | grep 9091
- netstat -an | grep 9047
将上述三个文件做好备份,然后做如下更改:
- 9080 更改为9070
- 9443更改为9477
- 2809更改为2801
- 8880更改为8770
- 9090更改为9091
- 9043更改为9047
b) 请转至如下目录并启动TDS里带的WAS-Express:
<IDSinstalldir>/ldap/appsrv/bin/startServer.sh server1
|
c) 登录Tivoli Directory Server管理控制台:
http://localhost:9080/IDSWebApp/IDSjsp/Login.jsp
|
输入缺省用户名:superadmin
密码:secret
注意,上述密码是缺省的,可以在登录后更改。
d) 配置一个受管理的LDAP服务器:
e) 退出到管理控制带的登录界面,从下拉菜单中选择服务器的LDAP主机名,输入该服务器的DN(例如"cn=root")和密码。
f) 启动/停止LDAP服务器的界面:
4.3.4 为WAS的管理添加用户(录入数据):
1.
登录Tivoli Directory
Server管理控制台(从下拉菜单中选择服务器的LDAP主机名,输入该服务器的DN(例如"cn=root")和密码。):http:
//localhost:9080/IDSWebApp/IDSjsp/Login.jsp
2. 创建o=test子树的根:
a) 按照下图所示,点击"添加"
b) 按照下图所示,选择"organization"
c) 在添加辅助对象类的界面上保持缺省,点击下一步。
d) 注意下面界面中红色方框中的值,父DN中内容一定要为空
e) 点击确定,然后按下图选择,然后点击"添加"。
f) 选择organizationalPerson:
g) 在"选择辅助对象类"的界面上选择"ePerson",点击"添加"
h) 点击"下一步"开始建用户。
i) 以"admin2"用户为例,在"必需属性"页面上,输入如下信息。
j) 选中"其它属性"页面,在"uid"和"userPassword"两栏输入如下信息。注意,对于"admin2"用户来说,uid这一属性很关键。
k) 在页面底部点击"完成"。
l) 按照上述方法,在LDAP服务器中可以加入多个类似用户(注意,大小写敏感)。
4.4 Tivoli Directory Server中的数据备份和恢复
存放于Tivoli Directory Server中的用户信息设置完毕之后,强烈建议立即进行数据备份。备份和恢复的方法都很简单:
4.4.1 数据备份:
数据备份有两种方式:图形界面方式和命令行方式。
图形界面方式如图:执行/usr/ldap/bin/ldapxcfg,启动LDAP的图形化配置界面,如图:
命令行方式:
db2ldif -o <outputfile> [-f <configfile>]
[[-s <subtree DN>[-x]] | [-p on|off] [-l]] [-j] | [-?]
|
注意:可在任何时候运行此实用程序而无需停止服务器。所有选项都区分大小写。
示例,要导出本例中的数据,可以用以下命令即可:
db2ldif -o /temp/ldapbackup.ldif -s o=test -j
|
注释:导出的ldif文件中,密码是加密的,不用担心密码明码泄露。
4.4.2 数据恢复(导入):
当重新安装了TDS(LDAP),或者因为其它原因需要重新录入这些用户数据时,可以采用此方法恢复数据。
数据恢复也有两种方式:图形界面方式和命令行方式。
图形界面方式如图:
命令行方式:
ldif2db -i <inputfile> [-f <configurationfile>] [-r yes|no] | -?
|
注意:在使用服务器导入实用程序之前,必须停止服务器。 确保应用程序未连接到目录数据库。如果有应用程序连接到目录数据库,则服务器实用程序将不运行
示例,要导出本例中的数据,可以用以下命令即可:
ldif2db -i /temp/ldapbackup.ldif
|
4.4.3 Tivoli Directory Server的重新安装
当发生最极端的情况(或者因为特殊的原因)需要重新安装Tivoli Directory Server时,WebSphere Application Server的运行、配置以及其中的应用都不会受影响。
在Tivoli Directory Server重新安装后,请按照第2章中的2.3.2节步骤,重新配置LDAP,然后按照上一节的方法,将以前备份好的LDAP数据恢复到Tivoli Directory Server中即可。
在下一节中提到的双机冷备方案中,备份服务器的安装也可以采用这种方式,即把主服务器的数据备份出来,再恢复到备份服务器中就可以很好的保持数据一致了。
4.5 Tivoli Directory Server的高可用实施方案
在
本文讨论的安全策略中,IBM Tivoli Directory
Server中存放的信息只用于管理控制台的安全性,应用并未使用,因此,Tivoli Directory
Server只存放了少量的用于管理控制台的用户信息。另外,IBM Tivoli Directory
Server启动与否只影响WebSphere Application Server进程的启动、停止和管理控制台的登录,并不影响应用的运行。
也
就是说,Tivoli Directory Server失效或者宕机,WebSphere Application
Server的进程和应用的运行完全不受其影响,可以照常运行。但是WebSphere Application
Server就无法正常启动和停止(WebSphere Application
Server的停止可以通过杀掉Java进程的方法实现),并无法登录管理控制台。
基于上述考虑,应该为Tivoli Directory Server实施高可用方案。
Tivoli Directory Server的高可用实施方案和数据库类似,最常用的方式为双机热备,即利用IT环境中现有的数据库双机热备来实现。
但以客户常见的实际情况来讲,目前有两种方案建议。
方案一:利用现有设备进行双机热备
目
前大多数应用的两台数据库服务器已经实现了双机热备。因此可以利用这两台服务器和已有的设备,将Tivoli Directory
Server安装于这两台服务器上。Tivoli Directory
Server的实际数据存放于其自带的DB2数据库中,或者利用客户已有的DB2数据库,因此实现双机热备的方法和应用数据库几乎完全一样。
但是这种方案的缺点在于,两台数据库服务器上都是非常重要的业务数据,从经验上来看,不应该在这两台服务器上安装别的软件,以免受到不必要的影响。
如果能够有另外两台服务器和存储专门用来做Tivoli Directory Server的双机热备固然很理想,但是出于成本和必要性的考虑,实际上Tivoli Directory Server完全不用双机热备。因此可以考虑方案二。
方案二:双机冷备
鉴于方案一中数据库服务器的重要性,再结合前面提到的因素:Tivoli Directory Server失效或者宕机并不影响生产系统正常运行,因此双机冷备也是可以考虑的一种比较经济实用的方式。
考虑到Tivoli Directory Server中存放的数据非常少,因此对选用的服务器性能要求不高,可以是非常小型的服务器,或者PC服务器(1G内存的服务器即可)均可。
在
该方案中,做备份的服务器和主服务器配置成一样的IP地址和主机名,存放完全一样的数据(实现方式为:在主服务器中录入用户数据后,从主服务器中导出数
据,再在备份服务器中导入数据。方法详见上一节)。平时不启用,当主服务器发生问题时,停止主服务器,人工启用备份服务器即可。
5 WAS全局安全性
注意:启用安全性后,WebSphere Application Server中和WAS安全框架相关的应用性能会降低 10-20%。不过本文讨论的情况不涉及客户应用的安全性,故应用性能不受此影响。
5.1 配置全局安全性
1.
在启动 WebSphere Application Server 后,从地址 http://yourhost:9060/ibm/console
启动 WebSphere Application Server
管理控制台。如果当前并为启用安全性,则可使用任何用户标识登录。如果当前已经启用安全性,则使用预定义的管理标识和密码(这通常是您在配置用户注册表时
指定的服务器用户标识)登录。
2. 点击"安全性 > 全局安全性",请在右边出现的页面上选择:"用户注册表' LDAP"
3. 配置用户注册表。
请以下图为例输入信息(注意:cn=wasadmin这一用户已经在LDAP里配好了。配置方法请见前面的章节,和配置admin2用户的方法完全一样):
4. 单击安全性 > 全局安全性,在页面的右侧点击"认证机制 > LTPA":
设置LTPA的密码为"password",点击"确定":
5. 回到"全局安全性"页面,选择"启用全局安全性":
6. 添加控制台用户:
注意:在"用户"一栏,可以像本例一样写全该用户的DN,也可以用短名,例如只填写"admin1"。在这里是否能使用短名,还是象下图一样必须写完整的用户名,取决于WAS中的LDAP用户过滤规则。详细说明请参见后面的章节"8.1 如何在WAS中使用短用户名?"
管理控制台定义了四个管理角色,来提供从管理控制台或从命令行执行某些 WebSphere Application Server 管理功能所需的权限级别。仅当启用全局安全性时才执行授权策略。四个管理安全角色在下列表中定义:
管理角色
角色 | 描述 |
| 监控员 |
用户可以查看 WebSphere Application Server 配置和当前状态,是权限最小的用户角色。 |
| 配置程序 |
监控员权限 + 更改 WebSphere Application Server 配置的能力。 |
| 操作员 |
监控员权限 + 更改运行时状态的能力,例如启动或停止服务 |
| 管理员 |
操作员 + 配置特权和访问敏感数据(包括服务器密码、LTPA 密码、LTPA 和密钥等)必需的权限。 |
当启用全局安全性时,如果您没有添加控制台用户并指定角色,则可以利用上述第三步中配置用户注册表的用户(本例中是wasadmin)登陆WAS的管理控制台。该用户缺省就具有管理员权限。
添加控制台用户并指定角色时,要注意这些用户必须提前在LDAP服务器中配置好。这些用户和组的验证取决于LDAP用户注册表。
6. 在"安全性 > 全局安全性"面板上单击确定或应用,并且没有验证问题,则此操作完成。保存配置并重新启动服务器(DM)。
7.
在 WebSphere Application Server Deployment Manager 启动后,通过输入
http://yourhost:9060/ibm/console 启动 WebSphere Application Server
管理控制台。使用预定义的管理标识和密码(这通常是您在配置用户注册表时指定的服务器用户标识)登录。 例如本例中,即可用admin1登录。
6 更改缺省安全套接字层(SSL)配置表密钥文件
缺省安全套接字层(SSL)配置表在启用全局安全性时用于内部 Java 进程间的安全通信。由于WAS缺省的密钥文件只用于sample环境,会在一段时间后过期,强烈建议在生产系统生成新的密钥文件。
6.1 生成新的自签名密钥文件:
WebSphere Application Server 提供图形工具(密钥管理实用程序(iKeyman)),用于管理密钥和证书。使用密钥管理实用程序,您可以:
- 创建新的密钥数据库。
- 创建自签署数字证书
- 添加认证中心(CA)根到密钥数据库作为签署者证书
- 请求并从 CA 接收数字证书
启动密钥管理工具:
- 动到 WAStall_root/bin 目录。
- 发出下列命令之一:
- 在 Windows 系统上,ikeyman.bat
- 在 UNIX 系统上,ikeyman.sh
生成密钥文件:
1. 选择:密钥数据库文件-> 新建
2. 密钥数据库类型选择:JKS,然后输入文件名和位置。
3. 删除"签署个人证书"列表中的现有证书。
4. 点击:创建-> 新建自签署证书
5. 点击:抽取证书
接下来生成trust JKS(信任)文件。步骤如下:
1. 选择:密钥数据库文件-> 新建
2. 密钥数据库类型选择:JKS
3. 在列表中选择:签署个人证书
4. 选择:添加
5. 将刚才制作密钥文件时抽取出来的证书添加进来。
6.2 更改缺省SSL配置
1. 单击安全性 > SSL > node_SSL_settings。
2. 修改密钥文件名和密钥文件密码字段的值,以访问新的密钥文件。
3. 从匹配新密钥文件所使用格式的"密钥文件格式"选项选择格式。
4. 修改信任文件名和信任文件密码字段的值,以访问新的信任文件。
5. 从匹配新信任文件所使用格式的"信任文件格式"选项选择格式。
6. 单击应用,应用更改。
7. 如果错误消息不显示在窗口的顶部,单击保存以保存对主配置的更改。
如图:
7 测试安全性
1.
通过启动管理控制台 http://hostname.domain:9060/ibm/console 来测试基于 Web 的表单登录。
基于表单的登录页面出现。如果登录页面不出现,则尝试通过输入 https://myhost.domain:9043/ibm/console
来访问管理控制台。
配置安全性时,输入用于配置用户注册表的管理用户标识和密码。
2. 启用安全性后,验证以安全方式启动和停止您的系统。 :
startServer.sh server1 -username <username> -password <password>
stopServer.sh server1 -username <username> -password <password>
|
在本例中,<username>为wasadmin,<password>为password
3. 如果您有任何问题,则分别查看 WebSphere Application Server /logs/server_name 目录中的输出日志。
8 使用WAS和TDS的小技巧
本章节根据一些热心读者的反馈总结。首先感谢大家的支持。欢迎大家继续提出问题或者踊跃反馈建议,可以使本章内容更加丰富。
8.1 如何在WAS中使用短用户名?
在
本文前面的章节"5.1
配置全局安全性"中提到,WAS中使用TDS做用户注册表管理,可以使用短名。例如前面几次提到的添加用户操作,除了输入完整的用户名"cn=
admin1,o=test",也可以用短名"admin1"。在设置完成后,登录WAS的管理控制台时也是同样。完整用户名和短名均可。
但要支持短名的方式,请注意您在TDS中创建的用户信息所使用的ObjectClass(辅助对象类)是否符合WAS中的用户过滤器规则。
如要查看WAS中的用户过滤器规则,请在WAS的管理控制台上点击:"全局安全性 > LDAP > 高级轻量级目录访问协议(LDAP)用户注册表设置",出现页面如下图所示:
其
中请特别注意"用户过滤器"一栏,内容为"(&(uid=%v)(objectclass=ePerson))"。该栏目显示了WAS缺省的
ObjectClass(辅助对象类)为"ePerson"。因此,请注意本文的章节"4.3.4
为WAS的管理添加用户(录入数据)"中,添加的用户都要使用"ePerson"作为辅助对象类。
综上。如果
您自己导入了一个现有的ldif文件,或者输入了一些用户信息,发现在WAS中不能使用短名,只能使用类似"cn=admin1,o=test"的完整用
户名(对用户来说的确非常不方便),一般来说原因就是您的用户信息没有使用"ePerson"作为辅助对象类。
更正的方法有两个:
1.
在上面提到的WAS页面中修改"用户过滤器"规则,将"(&(uid=%v)(objectclass=ePerson))"中的
"ePerson"修改为您所使用的ObjectClass(辅助对象类),例如比较常用的"inetOrgPerson"或者"Person"。
2. 不修改WAS中的用户过滤规则,修改您TDS中的用户信息,更改或添加ObjectClass(辅助对象类)为"ePerson"。不过这个方法工作量更大。
8.2 如何禁用一个用户?
很遗憾,在TDS里是不支持禁用用户的。因为用户信息在TDS里就是一个ObjectClass的条目存放,和其它的条目没有什么区别。
如
果业务需要禁用一个用户,最简单的方法是从TDS里删除该用户条目,或者更改该用户的密码来使客户端不能使用这个用户。但如果希望保存该用户原始信息,仅
仅是不能使用,则需要从应用中进行控制。对于WAS管理控制台,就比较简单,从管理控制台的控制台用户列表中删除即可。
在Tivoli的产品里,要想实现用户的禁用,请使用Tivoli Access Manager(TAM)。
关于作者
 |
|
|
|
李珂嘉,Senior I/T Specialist,IBM(中国)有限公司 软件部,2000年加入IBM,目前为IBM软件部(SWG)资深信息工程师,从事WebSphere中间件软件及其相关工具的售前和技术支持工作。
邮箱地址:likejia@cn.ibm.com
|
|