http://www-900.ibm.com/cn/support/faqhtmlfaq/2997899L28003.htm
关于LDAP的配置
关于LDAP的配置问题需要注意以下几点:
1.访问控制列表(Access Control List,ACL) 没有包含某些标识名 (Distinguished Name, DN) ,导致LDAP查询操作失败。
2.由于多次尝试登陆操作失败导致DN被锁定。
3.由更改等原因造成的DN密码错误。
4.LDAP服务器不支持匿名查询。
5.WebSphere应用服务器中定义的缺省过滤器(filter)与用户定义的设置不兼容。(例如:未定义objectclass= someObjectClass)
6.防火墙阻拦了在指定端口上的通信。
7.为LDAP指定了一个非标准端口。(标准端口是389和636(SSL))。
8.将LDAP管理员用户ID作为服务器的系统管理员ID,但管理员用户并没有被定义为标准的用户。
通常,ldapsearch 实用工具在诊断LDAP的配置相关问题时非常有帮助。ldapsearch 是一个命令行工具,它的原理与WebSphere Process Server查询LDAP服务器类似。使用ldapsearch 进行查询可以得到那些有可能被WPS“屏蔽”的返回结果。UNIX?操作系统会附带ldapsearch 工具,而对于Windows? 用户来说,需要单独下载ldapsearch。
ldapsearch 可以使用用户通过WebSphere Process Server 管理控制台 > Security > Global security > User registries > LDAP settings 定义的相关配置参数。关于这些设置的具体说明如下:
设置 说明
服务器用户ID 从LDAP查询得到的ID的缩写名(short name)
服务器用户密码 对应用户ID的密码
目录类型 预定义的LDAP服务器列表。选择特定的目录将更新在“高级属性”中定义的过滤器。
主机 LDAP服务器的主机名。这个名称可以指定为缩写,全称或者IP地址。
端口号 LDAP缺省端口号是389。
基准DN(Base distinguished name, baseDN) LDAP目录树的最顶部。
绑定DN(Bind distinguished name, bindDN) 在请求与LDAP服务器建立绑定时客户端需要指定的访问用户,以确保其有足够的权限能够访问服务器上的目录 信息。有些LDAP服务器允许匿名查询,因此bindDN和bind密码不是必须的。
Bind 密码 BindDN 的密码。
LDAP 高级属性 相关描述
用户过滤器(User filter) 用于查询LDAP服务器的字符串。
用户ID映射(User ID map) 在WebSphere 中显示的查询结果的定义。
可以使用下面的命令查询目录服务器:
ldapsearch -h host -p port -b "baseDN" -D bindDN -w bind_password "user_filter"
在Tivoli? Directory Server上,使用-w选项加上问号“?”将会提示用户输入bind密码,因此密码信息不会记录在shell历史中。通常,ldapsearch 以及LDAP服务器的密码保护机制根据版本的不同而略有差别。
下面是使用ldapsearch 的一个简单示例:
C:\> ldapsearch -h petunia -p 389 -b "o=ibm,c=us" uid=test
cn=test,o=ibm,c=us
sn=test
objectclass=top
objectclass=organizationalPerson
objectclass=ePerson
objectclass=person
objectclass=inetOrgPerson
uid=test
cn=test
这个查询应该返回一条记录。如果没有结果返回或者返回多条结果,应修改user_filter以及在WebSphere Process Server中使用的过滤器。
收集LDAP特定信息
1. 在WebSphere Process Server定义的配置内容(如:baseDN, bindDN, bind 密码等)的ldapsearch 的查询结果。
2. 如果用户使用了安全套接层(Secure Sockets Layer,SSL)加密并且问题只在使用SSL时发生,那么请使用一个可以公开的密码生成新的认证信息,并将认证信息(包括密码)发送给IBM技术支持 机构。同时说明用到的是服务器端认证还是客户端认证(或同时用到二者)。
3.收集日志和跟踪文件。将下面目录的所有文件打包提交:
<WPS_install>/profiles/<profile_name>/logs/<server_name>/*
4. 有关LDAP的配置参数的截屏。
具体地,从WebSphere Process Server 管理控制台:
* Security > Global security
* Security > Global security > LDAP
* Security > Global security > LDAP > Advanced Lightweight Directory Access Protocol (LDAP) user registry settings
说明:如果查询过滤器不可见,请拷贝用户过滤器(User Filter) 和组过滤器(Group Filter)的查询字符串。
* Security > Global security > LDAP > Custom properties
如果问题发生在配置LDAP staff plug-in provider,还需要提供下面的截屏信息:
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Custom properties
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Staff plug-in configuration (如果未使用缺省的LDAP Staff Plugin 配置示例,请提供所用到的XSL文件)
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Staff plug-in configuration > LDAP Staff Plugin Configuration sample (或相应的XSL 文件)
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Staff plug-in configuration > LDAP Staff Plugin Configuration sample > Custom properties (或相应的XSL 文件)
项目交换文件
1. 请提供尽量简化的项目交换文件用于重现问题。方法:
使用WebSphere Integration Developer,选择“文件”->“导出”,在弹出的对话框中选择“项目交换文件”并点击“下一步”,选择项目相关的模块然后将其导出 到一个压缩(.zip)文件中。
注:请将该项目交换文件的依赖项(例如:库)一并提供,以确保在运行时期间这些资源可用。
2. 详细描述应用的配置方法和重现问题的步骤。