Inhalt
|
Attribute für die Active Directory-Authentifizierung
Die Attribute für die Active Directory-Authentifizierung sind Organisationsattribute. Die diesen Attributen in der Dienstkonfiguration zugewiesenen Werte werden als Standardwerte der Vorlage für die Active Directory-Authentifizierung verwendet. Die Dienstvorlage muss erstellt werden, wenn der Dienst für die Organisation registriert wird. Die Standardwerte können nach der Registrierung durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge der Organisation vererbt. Die Attribute für die Active Directory-Authentifizierung sind folgende:
Primärer Active Directory Server
In diesem Feld werden der Host-Name und die Anschlussnummer des während der Access Manager-Installation festgelegten primären Active Directory Server angegeben. Es handelt sich hierbei um den Server, auf den bei der Active Directory-Authentifizierung zuerst zugegriffen wird. Das Format ist hostname:port. (Wenn keine Anschlussnummer angegeben wurde, kann in der Regel 389 verwendet werden.)
Wenn Access Manager mit mehreren Domänen bereitgestellt wurde, können Sie den Kommunikationslink zwischen bestimmten Instanzen von Access Manager und Directory Server in folgendem Format angeben (Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten):
local_servername|server:port local_servername2|server2:port2 ...
Wenn Sie beispielsweise zwei Access Manager-Instanzen an verschiedenen Standorten bereitgestellt haben (L1-machine1-IS und L2- machine2-IS), die mit verschiedenen Instanzen von Directory Server kommunizieren (L1-machine1-DS und L2-machine2-DS), lautet das Format wie folgt:
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
Sekundärer Active Directory Server
In diesem Feld werden der Host-Name und die Anschlussnummer eines zweiten für die Access Manager-Plattform verfügbaren Active Directory Server angegeben. Wenn der primäre Active Directory Server auf eine Authentifizierungsanforderung nicht reagiert, wird auf diesen Server zugegriffen. Ist der primäre Server bereit, wechselt Access Manager wieder zu diesem Server zurück. Das Format ist ebenfalls hostname:port. Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten.
DN zum Starten von Benutzersuche
In diesem Feld wird der DN des Knotens angegeben, bei dem die Suche nach einem Benutzer beginnen soll. (Um die Leistung zu erhöhen, sollte der DN möglichst genau angegeben werden.) Standardmäßig wird hier die Root-Ebene des Verzeichnisbaums angegeben. Jeder gültige DN ist zulässig. Wenn im Suchbereich-Attribut OBJECT ausgewählt ist, sollte der DN die Ebene angeben, die unmittelbar über der Ebene liegt, in der sich das Profil befindet.
Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten. Das Format ist folgendermaßen aufgebaut:
servername|search dn
Für Mehrfacheingaben
servername1|search dn servername2|search dn servername3|search dn...
Wenn durch einen Suchvorgang mehrere Benutzer ermittelt werden, schlägt die Authentifizierung fehl.
DN für Root-Benutzer-BIND
In diesem Feld wird der DN des Benutzers angegeben, der als Administrator den BIND-Vorgang mit dem im Feld "Primary Active Directory Server und -Anschluss" angegebenen Directory Server durchführen soll. Der BIND-Vorgang für den Authentifizierungsdienst muss mit diesem DN erfolgen, um die Suche nach einem mit der Anmeldungs-ID übereinstimmenden Benutzer-DN zu ermöglichen. Der Standardwert lautet amLDAPuser. Jeder gültige DN ist zulässig.
Vergewissern Sie sich vor dem Abmelden, dass das Passwort richtig ist. Bei einem falschen Kennwort werden Sie gesperrt. In diesem Fall können Sie sich mit dem Administrator-DN in der Eigenschaft com.iplanet.authentication.super.user der Datei AMConfig.Properties anmelden. Standardmäßig handelt es sich dabei um das amAdmin-Konto, mit dem Sie sich normalerweise anmelden. In diesem Fall verwenden Sie jedoch den vollständigen DN. Beispielsweise:
uid_amAdmin,ou=People,AccessManager-Basis
Passwort für Root-Benutzer-BIND
In diesem Feld wird das Passwort des im Feld "DN für Root-Benutzer-BIND" festgelegten Administratorprofils angegeben. Für diese Option gibt es keinen Standardwert. Nur das gültige Active Directory-Passwort des Administrators ist zulässig.
Passwort für Root-Benutzer-Bind (Bestätigen)
Bestätigung des Passworts.
Zum Abrufen des Benutzerprofils verwendetes Active Directory-Attribut
Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. Bei der Suche nach dem Profil wird der Wert dieses Attributs verwendet. In diesem Feld wird das zu verwendende Active Directory-Attribut angegeben. In Access Manager wird standardmäßig angenommen, dass Benutzereinträge durch das Attribut uid identifiziert werden. Wenn auf Ihrem Directory Server ein anderes Attribut verwendet wird (beispielsweise givenname), geben Sie den Namen des verwendeten Attributs in diesem Feld ein.
Hinweis
Für den Filter zur Benutzersuche wird eine Kombination aus dem Attribut "Suchfilter" und dem zum Abrufen des Benutzerprofils benutzten Active Directory-Attribut verwendet.
Zum Suchen nach einem zu authentifizierenden Benutzer verwendete Active Directory-Attribute
In diesem Feld werden die Attribute aufgelistet, die vom Suchfilter für einen zu authentifizierenden Benutzer zu verwenden sind und die es ermöglichen, dass der Benutzer eine Authentifizierung mit mehreren Attributen im Benutzereintrag durchführen kann. Wird dieses Feld beispielsweise auf uid, employeenumber und mail gesetzt, kann der Benutzer jeden dieser Namen für die Authentifizierung verwenden.
Benutzer-Suchfilter
In diesem Feld wird ein Attribut angegeben, das für die Suche nach dem im Feld "DN zum Starten von Benutzersuche" festgelegten Benutzer verwendet wird. Dieses Feld wird gemeinsam mit dem Namensattribut für Benutzereinträge eingesetzt. Für diese Option gibt es keinen Standardwert. Jedes gültige Benutzereintragsattribut ist zulässig.
Suchbereich
In diesem Menü wird angegeben, wie viele Ebenen des Directory Servers bei der Suche nach einem übereinstimmenden Benutzerprofil durchsucht werden sollen. Die Suche beginnt bei dem im Attribut "DN zum Starten von Benutzersuche" angegebenen Knoten. Der Standardwert ist SUBTREE. In der Liste kann eine der folgenden Optionen ausgewählt werden:
SSL-Zugriff auf den Active Directory Server aktivieren
Mit dieser Option wird der SSL-Zugriff auf die in den Feldern "Primary LDAP-Server und -Anschluss" und "Secondary Active Directory Server und -Anschluss" angegebenen Directory Server aktiviert. Standardmäßig ist diese Option nicht aktiviert, sodass der Zugriff auf den Directory Server nicht über das SSL-Protokoll erfolgt. Ist dieses Attribut jedoch aktiviert, können Sie den BIND-Vorgang mit einem nicht SSL-Server durchführen.
Benutzer-DN zur Authentifizierung zurückgeben
Wenn das Access Manager-Verzeichnis mit dem für Active Directory konfigurierten Verzeichnis übereinstimmt, ist diese Option möglicherweise aktiviert. Ist sie aktiviert, lässt das Active Directory-Authentifizierungsmodul die Rückgabe der DN anstelle der Benutzer-ID zu, sodass kein Suchlauf erforderlich ist. Normalerweise gibt ein Authentifizierungsmodul nur die Benutzer-ID zurück und der Authentifizierungsdienst sucht nach dem Benutzer in dem lokalen Access Manager Active Directory. Falls ein externes Active Directory-Verzeichnis verwendet wird, wird diese Option normalerweise nicht aktiviert.
Intervall der Active Directory Server-Überprüfung
Dieses Attribut wird beim Active Directory Server-Failback verwendet. Es legt die Anzahl der Minuten fest, die ein Thread "schlafen" kann, bevor überprüft wird, ob der primäre Active Directory Server ausgeführt wird.
Attributliste für Benutzererstellung
Dieses Attribut wird vom Active Directory-Authentifizierungsmodul verwendet, wenn der Active Directory Server als externer Active Directory Server konfiguriert wird. Es enthält eine Zuordnung der Attribute von lokalen und externen Directory Servern. Das Attribut hat folgendes Format:
attr1|externesattr1
attr2|externesattr2
Beim Erfassen dieses Attributs werden die Werte der externen Attribute vom externen Directory Server eingelesen und den Attributen des internen Directory Servers zugeordnet. Die Werte der externen Attribute werden nur dann internen Attributen zugeordnet, wenn das Attribut Benutzerprofil (im Kern-Authentifizierungsmodul) auf "Dynamisch erstellt" gesetzt wurde und der Benutzer in der lokalen Directory Server-Instanz nicht existiert. Der neu erstellte Benutzer enthält die Werte für die internen Attribute aus der Attributliste für die Benutzererstellung und die externen Attribute, denen sie zugeordnet sind.
Authentifizierungsebene
Die Authentifizierungsebene wird für jede Authentifizierungsmethode separat eingestellt. Mit diesem Wert wird angegeben, wie stark einer Authentifizierung vertraut wird. Nach der Authentifizierung eines Benutzers wird dieser Wert im SSO-Token für die betreffende Sitzung gespeichert. Wird das SSO-Token einer Anwendung vorgelegt, auf die der Benutzer zugreifen möchte, bestimmt die Anwendung anhand des gespeicherten Werts, ob die Authentifizierungsebene ausreicht, um dem Benutzer Zugriff zu gewähren. Wenn die in einem SSO-Token gespeicherte Authentifizierungsebene nicht dem erforderlichen Mindestwert entspricht, kann die Anwendung den Benutzer auffordern, sich über einen Dienst mit einer höheren Authentifizierungsebene erneut zu authentifizieren. Der Standardwert ist 0.
Hinweis
Wenn keine Authentifizierungsebene angegeben wird, wird im SSO-Token der im Kern-Authentifizierungsattribut "Standard-Authentifizierungsebene" angegebene Wert verwendet.
Inhalt |