Sie können optional ein LDAP-Verzeichnis (Lightweight Directory Access Protocol) zur Authentifizierung von Benutzern mit Ihrer IBM® WebSphere DataPower XC10 Appliance verwenden.
Vorbereitende Schritte
Sie müssen über die Berechtigung zum Verwalten des Geräts verfügen, um diese Schritte ausführen zu können.
Informationen zu diesem Vorgang
Die Verwendung eines LDAP-Servers zur Authentifizierung von Benutzern ist optional.
Wenn Sie einen externen LDAP-Server verwenden, müssen Sie alle Benutzer
Ihrer IBM WebSphere DataPower XC10 Appliance mit den
Benutzern im angegebenen LDAP-Verzeichnis abgleichen. Das Attribut Benutzername wird zur Authentifizierung der Benutzer von IBM WebSphere DataPower XC10 Appliance mit dem LDAP-Verzeichnis verwendet. Benutzer, die nicht im LDAP-Verzeichnis vorhanden sind, können nicht authentifiziert werden.
Sie können LDAP so konfigurieren, dass ein sicherer Port verwendet wird. Das SSL-Zertifikat (Secure Sockets Layer) des LDAP-Servers muss von einer öffentlich anerkannten Zertifizierungsstelle (Certificate Authority, CA) ausgegeben werden und befindet sich bereits in der Datei <JAVA-AUSGANGSVERZEICHNIS>/jre/lib/security/cacerts. WebSphere DataPower XC10 Appliance unterstützt keine selbst signierten Zertifikate.
Vorgehensweise
- Navigieren Sie zum Fenster Einstellungen. Gehen Sie anhand einer der folgenden Methoden vor:
- Navigieren Sie in der oberen Menüleiste der Benutzeroberfläche von WebSphere DataPower XC10 Appliance zu
.
- Klicken Sie auf der Seite Willkommen im Abschnitt Schritt 1: Gerät einrichten auf den Link Einstellungen anpassen.
- Erweitern Sie Sicherheit.
- Konfigurieren Sie das Gerät zur Authentifizierung von Benutzern mit einem LDAP-Verzeichnis.
- Zum Aktivieren der LDAP-Authentifizierung wählen Sie das Kontrollkästchen neben
LDAP-Authentifizierung aktivieren aus. Das Kontrollkästchen LDAP-Authentifizierung aktivieren ist standardmäßig
nicht ausgewählt.
Wenn Sie dieses Kontrollkästchen auswählen, kann WebSphere DataPower XC10 Appliance
den angegebenen LDAP-Server für die Authentifizierung von Benutzern bei der Anmeldung verwenden.
- Geben Sie den URL des JNDI-Providers ein. Beispiel für LDAP ohne SSL:
ldap://mycompany.com:389/
oder
ldap://mycompany.com/
Wenn Sie nicht explizit einen Port angeben, wird die
Standardportnummer 389 verwendet. Beispiel für LDAP mit SSL: ldaps://mycompany.com:636/
oder
ldaps://mycompany.com/
Wenn Sie nicht explizit einen Port angeben, wird die
Standardportnummer 636 verwendet.
- Geben Sie den JNDI-Basis-DN (Benutzer) ein. Beispiel:
CN=users,DC=mycompany,DC=com
- Geben Sie den JNDI-Basis-DN (Gruppen). Beispiel:
DC=mycompany,DC=com
- Geben Sie den Suchfilter ein (Benutzer). Beispiel:
(&(sAMAccountName={0})(objectcategory=user)) or uid={0}
Anmerkung: Der Platzhalter "{0}" steht für eine Benutzer-ID. "{0}" wird durch die Anmelde-Benutzer-ID ersetzt, die Sie im Anmeldebildschirm eingegeben haben.
- Geben Sie die JNDI-Sicherheitsauthentifizierung ein. Dieses Feld ist optional, es sei denn, Ihr LDAP-Server lässt keine anonymen LDAP-Abfragen zu. Beispiel:
CN=Administrator,CN=users,DC=mycompany,DC=com
- Geben Sie das Kennwort ein. Dieses Feld wird für JNDI-Sicherheitsberechtigungsnachweise verwendet und ist optional, es sei denn, Ihr LDAP-Server lässt keine anonymen LDAP-Abfragen zu.
- Testen Sie die von Ihnen konfigurierten LDAP-Authentifizierungseinstellungen. Sie können die Einstellungen testen, mit denen Sie die Authentifizierung mit einem LDAP-Server konfiguriert haben. In diesem Abschnitt können Sie LDAP-Abfragen ausführen, um nach angegebenen Benutzern oder Gruppen zu suchen.
- Klicken Sie auf LDAP-Authentifizierungseinstellungen testen, um diesen Abschnitt einzublenden.
- Geben Sie einen Benutzernamen in das Feld "LDAP-Benutzername" ein und klicken Sie auf die entsprechende Schaltfläche LDAP-Abfrage testen, um ihn zu testen. Beispiel:
test_user@us.ibm.com
Wenn die Abfrage erfolgreich ist, wird die folgende Nachricht angezeigt: Der LDAP-Benutzer-DN wurde gefunden: <Benutzerinformationen>. Wenn die Abfrage nicht erfolgreich ist, wird eine Fehlernachricht angezeigt.
- Geben Sie einen Gruppennamen in das Feld "LDAP-Gruppenname" ein und klicken Sie auf die entsprechende Schaltfläche LDAP-Abfrage testen, um ihn zu testen. Beispiel:
Test Group
Wenn die Abfrage erfolgreich ist, wird die folgende Nachricht angezeigt: Der LDAP-Gruppen-DN wurde gefunden: <Benutzerinformationen>. Wenn die Abfrage nicht erfolgreich ist, wird eine Fehlernachricht angezeigt.
Ergebnisse
Sie haben ein LDAP-Verzeichnis für die externe Authentifizierung für den Zugriff auf die
Benutzerschnittstelle angegeben.
Nächste Schritte
Die Kenntnis der Steuerung des Benutzerzugriffs auf verschiedene Bereiche Ihrer Umgebung stellt einen wichtigen Bestandteil Ihrer Sicherheitslösung dar.
Unter
Benutzern und Gruppen verwalten finden Sie weitere Informationen zur Verwaltung von Benutzern und Gruppen sowie der entsprechenden Berechtigungen.