Anmeldemodul hinzufügen

Vorgehensweise

  1. Navigieren Sie zu Sicherheit > Globale Sicherheit.
  2. Erweitern Sie im Abschnitt Authentifizierung den Eintrag Java Authentication and Authorization Service und wählen Sie Systemanmeldungen aus.
  3. Wählen Sie den entsprechenden Alias aus der Liste aus. Das Anmeldemodul sollte für die Aliasse DEFAULT, WEB_INBOUND und RMI_INBOUND konfiguriert sein.
  4. Klicken Sie auf Neu, um ein neues Anmeldemodul zu konfigurieren.
  5. Setzen Sie das Feld Name der Modulklasse auf curam.util.security.CuramLoginModule.
  6. Wählen Sie die Option Proxy für Anmeldemodul verwenden aus.
  7. Wählen Sie im Feld Authentifizierungsstrategie REQUIRED aus.
  8. Geben Sie in die Tabelle Angepasste Eigenschaften Namenwertepaare für alle unten aufgeführten erforderlichen Eigenschaften ein und klicken Sie je nach Bedarf auf die Schaltfläche Neu.
    Tabelle 1. Angepasste 'CuramLoginModule"-Eigenschaften

    Name

    Beispielwert

    Beschreibung

    exclude_usernames

    websphere, db2admin

    Erforderlich. Eine Liste von Benutzernamen, die von der Authentifizierung ausgeschlossen werden sollen. Der Standardbegrenzer ist ein Komma, was aber mit dem Begrenzer 'exclude_usernames_delimiter' überschrieben werden kann. Diese Liste sollte die Benutzer sowohl der Administration als auch der Datenbank von WebSphere enthalten. Jeder hier aufgeführte Benutzer sollte in der WebSphere Application Server-Benutzerregistry definiert sein.

    exclude_usernames_delimiter

    |

    Optional. Ein Begrenzungszeichen für die Benutzernamenliste, die in 'exclude_usernames' bereitgestellt wird. In Fällen, wo die Benutzernamen eingebettete Kommas enthalten, wie bei LDAP-Benutzern, kann es hilfreich sein, wenn der Begrenzer nicht das standardmäßige Komma ist.

    login_trace

    true

    Optional. Diese Eigenschaft sollte auf 'true' gesetzt sein, um für den Authentifizierungsprozess den Debugger auszuführen. Ist sie auf 'true' gesetzt, bewirkt der Aufruf des Anmeldemoduls, dass Informationen aus der Traceerstellung zur Datei SystemOut.log von WebSphere Application Server hinzugefügt werden.

    module_name

    DEFAULT, WEB_INBOUND oder RMI_INBOUND

    Optional. Diese Eigenschaft sollte auf DEFAULT, WEB_INBOUND oder RMI_INBOUND gesetzt sein, je nach der Konfiguration, für die das Anmeldemodul gerade definiert wird. Sie wird nur dann verwendet, wenn für Traceerstellungszwecke 'login_trace' auf 'true' gesetzt ist.

    check_identity_only

    true

    Optional. Wenn diese Eigenschaft auf 'true' gesetzt ist, führt das Anmeldemodul nicht die gewöhnlichen Authentifizierungsverifizierungen durch. Stattdessen stellt es nur fest, ob der Benutzer in der Datenbanktabelle vorhanden ist. In diesem Fall wird die konfigurierte WebSphere Application Server-Benutzerregistry nicht umgangen, sondern nach dem Anmeldemodul abgefragt. Diese Option ist für Fälle gedacht, in denen LDAP-Unterstützung erforderlich ist oder ein alternativer Authentifizierungsmechanismus verwendet werden soll.

    Anmerkung: Wenn Sie 'Authentifizierung nur anhand der Identität' angeben und LDAP verwenden, müssen unter Umständen zusätzliche Konfigurationsschritte ausgeführt werden. Nähere Informationen dazu finden Sie unter Besondere Konfigurationsschritte bei der Verwendung von 'Authentifizierung nur anhand der Identität' und LDAP.

    user_registry_enabled

    true

    Optional. Diese Eigenschaft wird zum Überschreiben des Verhaltens verwendet, die Benutzerregistry zu umgehen. Ist sie auf 'true' gesetzt, so wird die Benutzerregistry während des Authentifizierungsprozesses abgefragt. Ist sie auf 'false' gesetzt, wird die WebSphere Application Server-Benutzerregistry nicht abgefragt.

    user_registry_enabled_types

    EXTERNAL

    Optional. Diese Eigenschaft wird zum Angeben einer durch Kommas begrenzten Liste externer Benutzertypen verwendet, die anhand der WebSphere Application Server-Benutzerregistry (z.B. LDAP) verarbeitet werden soll. Unter Benutzerregistry für WebSphere Application Server finden Sie weitere Informationen zur Verarbeitung der WebSphere Application Server-Benutzerregistry.

    user_registry_disabled_types

    EXTGEN,EXTAUTO

    Optional. Diese Eigenschaft wird zum Angeben einer durch Kommas begrenzten Liste externer Benutzertypen verwendet, die nicht anhand der WebSphere Application Server-Benutzerregistry (z.B. LDAP) verarbeitet werden soll. Unter Benutzerregistry für WebSphere Application Server finden Sie weitere Informationen zur Verarbeitung der WebSphere Application Server-Benutzerregistry.
  9. Klicken Sie auf OK zum Bestätigen der Hinzufügung eines neuen Anmeldemoduls.
Übergeordnetes Thema: JAAS-Anmeldemodul für das System einrichten