为 WebSphere Portal V61 配置安全性Word格式文档下载.docx
- 文档编号:5363986
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:22
- 大小:144.42KB
为 WebSphere Portal V61 配置安全性Word格式文档下载.docx
《为 WebSphere Portal V61 配置安全性Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《为 WebSphere Portal V61 配置安全性Word格式文档下载.docx(22页珍藏版)》请在冰点文库上搜索。
在WebSpherePortalServerV6.1版中,引入了新的配置框架(ConfigEngine)来替换以前的配置命令(WPSconfig)。
ConfigEngine对Portal提供了组件化管理的功能,使其能够对新的组件即插即用,并且由每个组件来管理自己的相关配置任务,由ConfigEngine来处理组件之间的依赖关系。
在<
wp_profile>
/ConfigEngine目录中可以找到ConfigEngine相关命令。
我们将在以后的文章中再来详细介绍ConfigEngine。
图1.WebSpherePortalServerV6.1注册表类型和关系图
从上图可以看出,我们可以通过ConfigEngine提供的相应任务(上图中的A,B,C)来实现
不同的注册表类型之间切换。
同时,ConfigEngine也为联合用户注册表提供了额外的任务来添加多个LDAP存储库(wp-create-ldap)和数据库存储库(wp-create-db),我们将在后面的章节中详细介绍这些任务。
回页首
联合用户注册表
联合用户注册表是一个通过配置VMM(虚拟用户管理)来将多个存储库中的用户映射到一个虚拟存储库的方法。
联合注册表是一个树型结构,由一个或多个域(Realm)组成,每个域由一个或多个基本项(BaseEntry)组成,每个基本项对应一个独立的存储库(Repository)。
综上所述,联合用户注册表可以看作由一个或者几个域组成的一个虚拟存储库。
关于联合用户注册表的详细介绍,请参看参考资料。
图2.域/基本项/存储库之间的关系
上图2通过实例显示了域、基本项和存储库之间的关系。
在实例中,一个域含有三个基本项,分别对应于两个存储库中的三棵子树。
从以上的介绍可以看出,使用了联合用户注册表之后可以同时支持多个存储库,并且允许您根据业务需求来随时添加或删除存储库。
而在以前的版本中要完成此功能均需要用户自己来实现自定义的注册表,现在V6.1缺省提供的联合用户注册表无疑能大大提高易用性,同时这也是WebSpherePortalServerV6.1缺省使用的用户注册表类型。
下面我们来看一下联合用户注册表下的常用功能:
∙查询当前存储库列表
∙添加LDAP存储库
∙添加数据库存储库
∙删除存储库
∙设置缺省存储库
查询当前存储库列表
WebSpherePortalServerV6.1缺省使用的就是联合用户注册表,并且包含一个文件存储库(InternalFileRepository)。
需要注意的是,由于它是一个基于本地文件的轻量级存储库,不能将其用于集群环境下,并且一旦删除后只能通过WebSphereApplicationServer的相关命令来将其重新添加回来。
查询当前存储库
ConfigEngine的任务wp-qurey-repository可以用来查询当前为Portal配置的所有存储库信息。
[root@pvcent107ConfigEngine]#./ConfigEngine.shwp-query-repository
......
[wplc-query-federated-repository]ExistingFederatedRepositories
[wplc-query-federated-repository]RepositoryName:
{Details}
[wplc-query-federated-repository]*******************************
[wplc-query-federated-repository]InternalFileRepository:
{repositoryType=File,host=LocalHost}
[wplc-query-federated-repository]Status=Complete
......
从上面可以看出,缺省装完Portal后联合用户注册表中将包含一个文件存储库,该存储库ID为"
InternalFileRepository"
,类型为"
文件"
,主机为"
本地主机"
。
查询当前存储库列表并不需要额外的参数就可运行。
添加LDAP存储库
wkplc.properties
wkplc.properties是ConfigEngine的主要配置文件,在<
/ConfigEngine/properties/中可以找到它。
下面我们来看一下如何添加一个LDAP存储库。
此时我们就需要编辑wkplc.properties文件来告诉ConfigEngine相关的参数。
这里我们仅简单介绍几个重要参数,详细参数列表请参见WebSpherePortalServerV6.1信息中心。
∙federated.ldap.id=RepositoryID_:
389
o这个id用来唯一标识此存储库
∙federated.ldap.baseDN=dc=ids601,dc=com
o基本项(BaseEntry)用来唯一标识并表明将此存储库的一个子树还是全部映射到虚拟存储库里
∙federated.ldap.ldapServerType=IDS6
o用来指定LDAP类型
编辑完成后,可以通过执行ConfigEngine的相关任务wp-create-ldap来添加LDAP存储库。
[root@pvcent107ConfigEngine]#./ConfigEngine.shwp-create-ldap
wp-create-ldap:
WedApr3007:
10:
36CST2008
validate-federated-ldap:
37CST2008
[echo]LDAPHostNamefederated.ldap.host=
[echo]LDAPPortfederated.ldap.port=389
[echo]LDAPAdminUIdfederated.ldap.bindDN=cn=root
BUILDSUCCESSFUL
Totaltime:
31seconds
[root@pvcent107ConfigEngine]#
值得注意的是,此命令的执行时间只是仅仅31秒,速度上比起以前版本有了极大的提升。
现在,再让我们来看一下当前的存储库列表:
[wplc-query-federated-repository]RepositoryID_:
389:
{specificRepositoryType=IDS6,repositoryType=LDAP,host=}
[root@pvcent107ConfigEngine]#
可见,LDAP存储库已经添加到联合用户注册表中。
借此,我们可以进一步来分析域/基本项/存储库三者是如何在Portal的安全配置文件中存储的。
它们被存储在wimocnfig.xml文件中。
该文件包含了Portal里有关VMM的配置信息,可以在<
/config/cells/<
cell_name>
/wim/config/中找到此文件。
wimconfig.xml
<
config:
repositoriesxsi:
type="
FileRepositoryType"
adapterClassName="
com.ibm.ws.wim.adapter.file.was.FileAdapter"
id="
supportPaging="
false"
messageDigestAlgorithm="
SHA-1"
>
<
baseEntriesname="
o=defaultWIMFileBasedRealm"
/>
/config:
repositories>
LdapRepositoryType"
com.ibm.ws.wim.adapter.ldap.LdapAdapter"
RepositoryID_:
389"
ldapServerType="
IDS6"
translateRDN="
dc=ids601,dc=com"
nameInRepository="
ldapServersauthentication="
simple"
bindDN="
cn=root"
bindPassword="
{xor}Lz4sLChvLTs="
connectionPool="
true"
connectTimeout="
0"
derefAliases="
always"
referal="
ignore"
sslEnabled="
connectionshost="
"
port="
ldapServers>
ldapServerConfiguration>
......
realmConfigurationdefaultRealm="
defaultWIMFileBasedRealm"
realmsdelimiter="
/"
name="
securityUse="
active"
participatingBaseEntriesname="
realms>
realmConfiguration>
我们这里摘录的片段包括三个部分,前两个以“<
repositories”开头的部分定义了文件存储库和LDAP存储库的配置信息,第三个以“<
realmConfiguration”开头的部分定义了域的配置信息。
首先看到的文件存储库的配置信息,值得注意的是它的类型(“FileRepositoryType”),存储库ID(“InternalFileRepository”)以及基本项(“o=defaultWIMFileBasedRealm”)这三个参数。
第二部分就是我们刚添加的LDAP存储库了,此时需要注意的参数依然是类型(“LdapRepositoryType”),存储库ID(“RepositoryID_:
389”)以及基本项(“dc=ids601,dc=com”)。
最后的域(Realm)配置信息说明当前缺省域是“defaultWIMFileBasedRealm”,此域中包含两个基本项(“o=defaultWIMFileBasedRealm”以及“dc=ids601,dc=com”),分别对应上面所提到的两个存储库。
我们可以通过图2来重新回顾一下三者之间的关系。
添加数据库存储库
添加数据库存储库的步骤和添加LDAP存储库的过程基本一致,我们可以把JDBC可访问的数据库也添加到联合用户表中,同样需要编辑wkplc.properties并填写相应参数,然后通过执行ConfigEngine.shwp-create-db来完成此配置。
这里就不展开介绍了。
删除存储库
当我们不再需要某一个存储库时,我们可以在任意时刻将它删除,此时所说的删除其实包括两个步骤。
第一步是将此存储库在域中所对应的基本项从域中移除,第二步是将存储库彻底删除。
其实从我们上面所分析的wimconfig.xml文件来看,第一步就是修改域配置信息,移除其相应包含的基本项,第二步是删除存储库的配置信息。
在WebSpherePortalServerV6.1中提供了一个任务(wp-delete-repository)来一次性完成这两个步骤。
此任务包括两个配置参数:
∙federated.delete.baseentry=o=defaultWIMFileBasedRealm
o用来指定从域中移除的基本项
∙federated.delete.id=InternalFileRepository
o用来指定所需删除的存储库ID
值得注意的是,如果此存储库包含当前正在使用的管理员ID,用户需要将Portal管理员ID更改为其他存储库中的用户,然后才能删除此存储库。
另外,如果此存储库同时被包含在其他域中,用户需要先将其基本项从其他域中移除之后再来删除。
如何从其他域中删除基本项请参看“多用户域以及虚拟门户”。
设置缺省存储库
当联合用户注册表中包含多个存储库时,新创建的用户会保存在哪一个存储库中呢?
如何更改缺省的存储库呢?
其实这一切都可以通过分析wimconfig.xml来得到答案。
supportedEntityTypesdefaultParent="
Group"
rdnProperties>
cn<
supportedEntityTypes>
……
PersonAccount"
uid<
可以看出缺省的新用户和组都会保存在o=defaultWIMFileBasedRealm这个基本项中,也就是缺省的文件存储库。
我们可以通过运行ConfigEngine的任务(wp-update-entitytypes)来完成对缺省存储库的配置。
例如:
∙personAccountParent=cn=users,dc=ids601,dc=com
o用户的缺省父节点
∙groupParent=cn=groups,dc=ids601,dc=com
o组的缺省父节点
运行完任务之后我们通过Portal所创建的新用户就会保存在LDAP存储库里,而不是以前的文件存储库了,用户ID也会自动添加上“cn=users,dc=ids601,dc=com”的后缀。
新创建的组也是一样的道理。
运行完毕后,新的wimconfig.xml文件相关内容如下所示。
运行wp-update-entitytypes之后的wimconfig.xml
cn=groups,dc=ids601,dc=com"
cn=users,dc=ids601,dc=com"
联合用户注册表的局限性
∙DN(DistinguishedName)在同一个域的所有存储库中必须唯一。
例如,如果在LDAP1存储库中包括uid=wpsadmin,o=youco,那么在其它存储库中不能再包括这一用户。
∙短名(例如:
wpsadmin)也必须在同一个域的所有存储库中唯一。
∙在同一个域的所有存储库所对应的基本项中不能出现重叠。
例如,如果LDAP1存储库的基本项为c=us,o=youco,那么LDAP2存储库的基本项不能为o=youco
∙由于VMM的限制,如果联合注册表中的任一存储库停止运行,用户将不能进行身份验证,即使此用户存储在别的此时工作正常的存储库也不行。
单个孤立的注册表
在WebSpherePortalServerV6.1中,单个孤立的注册表并不被推荐使用。
如果您的系统当中存有大量的历史遗留应用仅支持单个孤立的注册表,或者考虑到与其他系统集成因素在内,可以选择使用此用户注册表。
在单个孤立注册表与联合用户注册表之间切换
我们注意到,在WebSphereApplicationServerV6.1中,我们可以随时配置联合用户注册表或单个孤立注册表,并在需要的时候再将其设为当前选择。
也就是说,在WebSphereApplicationServerV6.1里,这两部分的配置信息是独立共存的,互不干扰。
但是在WebSpherePortalServerV6.1中并不是这样。
原因在于Portal无论底层采用的是单个孤立注册表还是联合用户注册表都采取了用VMM直接读取,这样在单个孤立注册表时就必须也同时把它当作联合用户注册表来对待,同样在wimconfig.xml中创建了域/基本项/存储库,只不过此时域中就只包括唯一的存储库了。
需要注意的是,当用户从联合用户注册表切换到单个孤立注册表时,会先删除此时所有的基本项/存储库,然后再为单个孤立注册表创建基本项及存储库,也就是说无法像WebSphereApplicationServer那样保持各自的配置信息独立共存,互不干扰。
同理,当用户从单个孤立注册表切换到联合用户注册表时,就只会简单得更改一下域名称,而将原来的单个孤立注册表直接作为联合用户注册表中的一个存储库,无需再重新添加。
单个孤立的轻量级目录访问协议(LDAP)注册表。
让我们来看一下从联合用户注册表切换到单个孤立的轻量级目录访问协议(LDAP)注册表的过程。
在我们当前的环境中,联合用户注册表现在包括了两个存储库,分别是文件存储库和已经新添加的LDAP存储库(LDAP位于pvcent49的主机上)现在需要切换到单个孤立的LDAP注册表上(LDAP位于pvcent76的主机上)。
首先依然是修改wkplc.properties文件,其中需要特别注意的是如下几个参数:
∙standalone.ldap.realm=Realm_:
o域(Re
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WebSphere Portal V61 配置安全性 配置 安全性