Gerät zur Authentifizierung von Benutzern mit einem LDAP-Verzeichnis konfigurieren

Sie können optional ein LDAP-Verzeichnis (Lightweight Directory Access Protocol) zur Authentifizierung von Benutzern mit Ihrer IBM® WebSphere DataPower XC10 Appliance verwenden.

Vorbereitende Schritte

Sie müssen über die Berechtigung zum Verwalten des Geräts verfügen, um diese Schritte ausführen zu können.

Informationen zu diesem Vorgang

Die Verwendung eines LDAP-Servers zur Authentifizierung von Benutzern ist optional. Wenn Sie einen externen LDAP-Server verwenden, müssen Sie alle Benutzer Ihrer IBM WebSphere DataPower XC10 Appliance mit den Benutzern im angegebenen LDAP-Verzeichnis abgleichen. Das Attribut Benutzername wird zur Authentifizierung der Benutzer von IBM WebSphere DataPower XC10 Appliance mit dem LDAP-Verzeichnis verwendet. Benutzer, die nicht im LDAP-Verzeichnis vorhanden sind, können nicht authentifiziert werden.

Sie können LDAP so konfigurieren, dass ein sicherer Port verwendet wird. Das SSL-Zertifikat (Secure Sockets Layer) des LDAP-Servers muss von einer öffentlich anerkannten Zertifizierungsstelle (Certificate Authority, CA) ausgegeben werden und befindet sich bereits in der Datei <JAVA-AUSGANGSVERZEICHNIS>/jre/lib/security/cacerts. WebSphere DataPower XC10 Appliance unterstützt keine selbst signierten Zertifikate.

Vorgehensweise

  1. Navigieren Sie zum Fenster Einstellungen. Gehen Sie anhand einer der folgenden Methoden vor:
    • Navigieren Sie in der oberen Menüleiste der Benutzeroberfläche von WebSphere DataPower XC10 Appliance zu Gerät > Einstellungen.
    • Klicken Sie auf der Seite Willkommen im Abschnitt Schritt 1: Gerät einrichten auf den Link Einstellungen anpassen.
  2. Erweitern Sie Sicherheit.
  3. Konfigurieren Sie das Gerät zur Authentifizierung von Benutzern mit einem LDAP-Verzeichnis.
    1. Zum Aktivieren der LDAP-Authentifizierung wählen Sie das Kontrollkästchen neben LDAP-Authentifizierung aktivieren aus. Das Kontrollkästchen LDAP-Authentifizierung aktivieren ist standardmäßig nicht ausgewählt. Wenn Sie dieses Kontrollkästchen auswählen, kann WebSphere DataPower XC10 Appliance den angegebenen LDAP-Server für die Authentifizierung von Benutzern bei der Anmeldung verwenden.
    2. Geben Sie den URL des JNDI-Providers ein. Beispiel für LDAP ohne SSL:
      ldap://mycompany.com:389/ 
      oder
      ldap://mycompany.com/ 
      Wenn Sie nicht explizit einen Port angeben, wird die Standardportnummer 389 verwendet. Beispiel für LDAP mit SSL:
      ldaps://mycompany.com:636/ 
      oder
      ldaps://mycompany.com/ 
      Wenn Sie nicht explizit einen Port angeben, wird die Standardportnummer 636 verwendet.
    3. Geben Sie den JNDI-Basis-DN (Benutzer) ein. Beispiel:
      CN=users,DC=mycompany,DC=com
    4. Geben Sie den JNDI-Basis-DN (Gruppen). Beispiel:
      DC=mycompany,DC=com
    5. Geben Sie den Suchfilter ein (Benutzer). Beispiel:
      (&(sAMAccountName={0})(objectcategory=user)) or uid={0}
      Anmerkung: Der Platzhalter "{0}" steht für eine Benutzer-ID. "{0}" wird durch die Anmelde-Benutzer-ID ersetzt, die Sie im Anmeldebildschirm eingegeben haben.
    6. Geben Sie die JNDI-Sicherheitsauthentifizierung ein. Dieses Feld ist optional, es sei denn, Ihr LDAP-Server lässt keine anonymen LDAP-Abfragen zu. Beispiel:
      CN=Administrator,CN=users,DC=mycompany,DC=com
    7. Geben Sie das Kennwort ein. Dieses Feld wird für JNDI-Sicherheitsberechtigungsnachweise verwendet und ist optional, es sei denn, Ihr LDAP-Server lässt keine anonymen LDAP-Abfragen zu.
  4. Testen Sie die von Ihnen konfigurierten LDAP-Authentifizierungseinstellungen. Sie können die Einstellungen testen, mit denen Sie die Authentifizierung mit einem LDAP-Server konfiguriert haben. In diesem Abschnitt können Sie LDAP-Abfragen ausführen, um nach angegebenen Benutzern oder Gruppen zu suchen.
    1. Klicken Sie auf LDAP-Authentifizierungseinstellungen testen, um diesen Abschnitt einzublenden.
    2. Geben Sie einen Benutzernamen in das Feld "LDAP-Benutzername" ein und klicken Sie auf die entsprechende Schaltfläche LDAP-Abfrage testen, um ihn zu testen. Beispiel:
      test_user@us.ibm.com

      Wenn die Abfrage erfolgreich ist, wird die folgende Nachricht angezeigt: Der LDAP-Benutzer-DN wurde gefunden: <Benutzerinformationen>. Wenn die Abfrage nicht erfolgreich ist, wird eine Fehlernachricht angezeigt.

    3. Geben Sie einen Gruppennamen in das Feld "LDAP-Gruppenname" ein und klicken Sie auf die entsprechende Schaltfläche LDAP-Abfrage testen, um ihn zu testen. Beispiel:
      Test Group

      Wenn die Abfrage erfolgreich ist, wird die folgende Nachricht angezeigt: Der LDAP-Gruppen-DN wurde gefunden: <Benutzerinformationen>. Wenn die Abfrage nicht erfolgreich ist, wird eine Fehlernachricht angezeigt.

Ergebnisse

Sie haben ein LDAP-Verzeichnis für die externe Authentifizierung für den Zugriff auf die Benutzerschnittstelle angegeben.

Nächste Schritte

Die Kenntnis der Steuerung des Benutzerzugriffs auf verschiedene Bereiche Ihrer Umgebung stellt einen wichtigen Bestandteil Ihrer Sicherheitslösung dar. Unter Benutzern und Gruppen verwalten finden Sie weitere Informationen zur Verwaltung von Benutzern und Gruppen sowie der entsprechenden Berechtigungen.