配置 OIDActive Directory 和其他基于 LDAP 的用户目录

系统管理员使用本节所述的过程来配置基于 LDAP 的企业用户目录,例如 OID、Sun Java System Directory Server、Oracle Virtual Directory、Active Directory、IBM Tivoli Directory Server 或配置屏幕上未列出的其他基于 LDAP 的用户目录。

要配置 OIDActive Directory 和其他基于 LDAP 的用户目录:

  1. 以系统管理员身份访问 Oracle Hyperion Shared Services Console。请参阅“启动 Shared Services Console”。
  2. 选择管理,然后选择配置用户目录

    “提供程序配置”选项卡随即打开。该屏幕中列出了所有已配置的用户目录,包括 Native Directory

  3. 单击新建
  4. 目录类型下,选择一个选项:

    • 选择轻量级目录访问协议 (LDAP) 以配置除 Active Directory 之外的基于 LDAP 的用户目录。选择此选项来配置 Oracle Virtual Directory。

    • 选择 Microsoft Active Directory (MSAD) 以配置 Active Directory

      仅限 Active Directory 和 Active Directory 应用程序模式 (ADAM):如果您要为 Active Directory 或 ADAM 使用自定义 ID 属性(除 ObjectGUID 以外的属性,例如 sAMAccountName),请选择轻量级目录访问协议 (LDAP),并将其配置为目录类型其他

  5. 单击下一步

    将 Microsoft Active Directory 配置为外部用户目录的“用户目录连接信息”屏幕图示
  6. 输入必需的参数。

    表 3-2 “连接信息”屏幕

    标签 说明
    目录服务器

    选择一个用户目录。ID 属性值将更改为选定产品的建议恒定唯一标识属性。

    如果在步骤 4 中选择了 Active Directory,将会自动选中该属性。

    在下列情况中请选择Other

    • 您配置的是未列出的用户目录类型,例如 Oracle Virtual Directory

    • 您配置的是已列出的某个支持 LDAP 的用户目录(例如 OID),但您希望使用自定义 ID 属性。

    • 您要将 Active Directory 或 ADAM 配置为使用自定义 ID 属性。

    注:

    由于 Oracle Virtual Directory 在一个目录视图中提供 LDAP 目录和 RDMBS 数据存储库的虚拟抽象化形式,因此无论 Oracle Virtual Directory 支持的用户目录的数量和类型如何,Oracle Enterprise Performance Management System 都会将其视为单个外部用户目录。

    示例: Oracle Internet Directory
    名称 用户目录的描述性名称。在配置了多个用户目录的情况下,用于标识特定用户目录。名称不得包含空格和下划线以外的字符。

    示例:Corporate_OID
    DNS 查找 仅限 Active Directory选择此选项将启用 DNS 查找。请参阅“DNS 查找和主机名查找”。Oracle 建议在生产环境中配置 DNS 查找作为连接到 Active Directory 的方法以避免连接失败。

    注:

    如果在配置全局目录,请不要选择此选项。

    选择此选项时,将显示以下字段:

    • Active Directory 林的域名。

      示例: example.comus.example.com

    • AD 站点Active Directory 站点名称,通常为存储在 Active Directory 配置容器中的站点对象的相对可分辨名称。一般情况下,AD 站点标识地理位置,如城市、州/省、地区或国家。

      示例: Santa ClaraUS_West_region

    • DNS 服务器:支持对域控制器进行 DNS 服务器查找的服务器的 DNS 名称。
    主机名 仅限 Active Directory选择此选项将启用静态主机名查找。请参阅“DNS 查找和主机名查找”。

    注:

    如果在配置 Active Directory 全局目录,请选择此选项。
    主机名 用户目录服务器的 DNS 名称。如果用户目录要用来支持通过 SiteMinder 进行的 SSO,请使用完全限定域名。Oracle 建议仅为测试目的使用主机名建立 Active Directory 连接。

    注:

    如果要配置 Active Directory 全局目录,请指定全局目录服务器主机名。请参阅“全局目录”。

    示例:MyServer
    端口 用户目录在其中运行的端口号。

    注:

    如果要配置 Active Directory 全局目录,请指定全局目录服务器使用的端口(默认值为 3268)。请参阅“全局目录”。

    示例:389
    已启用 SSL 如果选中该复选框,则与此用户目录的通信将启用安全通信。该用户目录必须配置为支持安全通信。
    基本 DN 节点的可分辨名称 (DN),针对用户和组的搜索应从该节点中开始。您也可以使用提取 DN 按钮列出可用的基本 DN,然后从列表中选择适当的基本 DN。

    注:

    如果要配置全局目录,请指定林的基本 DN。

    有关特殊字符的使用限制,请参阅“使用特殊字符”。

    Oracle 建议您选择包含所有 EPM System 产品用户和组的最低 DN。

    示例: dc=example,dc=com
    ID 属性

    仅当在目录类型中选择了 Other 时才可以修改该属性值。此属性必须是存在于目录服务器上的用户和组对象中的公共属性。

    系统会自动为该属性设置建议的值:OID orclguid、SunONE (nsuniqueid)、IBM Directory Server (Ibm-entryUuid)、Novell eDirectory (GUID) 和 Active Directory (ObjectGUID)。

    示例:orclguid

    如果在目录服务器中选择其他之后手动设置该值(例如,要配置 Oracle Virtual Directory),则 ID 属性值应该:

    • 指向一个唯一的属性

    • 不特定于位置

    • 不随时间变化
    大小上限 搜索可返回的最大结果数。如果此值大于用户目录设置支持的值,用户目录值将覆盖此值。

    对于除 Active Directory 之外的其他用户目录,将此字段留空可检索符合搜索标准的所有用户和组。

    对于 Active Directory,将此值设置为 0 可检索符合搜索标准的所有用户和组。

    如果在授权管理模式下配置 Oracle Hyperion Shared Services,请将此值设置为 0。
    受信任 如果选中该复选框,则指明此提供程序是受信任的 SSO 源。来自受信任源的 SSO 令牌不包含用户的密码。
    匿名绑定 如果选中该复选框,则指明 Shared Services 可通过匿名方式绑定到用户目录以搜索用户和组。只能在用户目录允许匿名绑定时使用。如果未选择此选项,您必须在“用户 DN”中指定具有足够访问权限的帐户,以便搜索存储用户信息的目录。

    Oracle 建议您不要使用匿名绑定。

    注:

    OID 不支持匿名绑定。
    用户 DN

    如果选择了匿名绑定,则此选项处于禁用状态。

    用户的可分辨名称,Shared Services 应使用此名称与用户目录进行绑定。此用户必须对 DN 内的 RDN 属性具有搜索权限。例如,在 dn: cn=John Doe, ou=people, dc=myCompany, dc=com 中,绑定用户应具有对 cn 属性的搜索访问权限。

    用户 DN 中的特殊字符必须用转义字符指定。有关限制,请参阅“使用特殊字符”。

    示例: cn=admin,dc=myCompany,dc=com
    附加基本 DN

    用于将基本 DN 附加到用户 DN 的复选框。如果要使用目录管理员帐户作为用户 DN,请不要附加基本 DN。

    如果选择了“匿名绑定”选项,则此复选框处于禁用状态。
    密码 用户 DN 密码

    如果选择了“匿名绑定”选项,则此框处于禁用状态。

    示例:UserDNpassword
    显示高级选项 用于显示高级选项的复选框。
    参照 仅限 Active Directory

    如果将 Active Directory 配置为跟随参照,请选择跟随以自动跟随 LDAP 参照。选择忽略以不使用参照。
    取消引用别名 选择一种方法,Shared Services 搜索应使用该方法在用户目录中取消引用别名,以便搜索检索别名的 DN 指向的对象。请选择:

    • 总是:始终取消引用别名。

    • 绝不:绝不取消引用别名。

    • 正在查找:仅在名称解析过程中取消引用别名。

    • 正在搜索:仅在名称解析后取消引用别名。
    连接读取超时 LDAP 提供程序因未获得响应而中止 LDAP 读取操作的间隔(秒)。

    默认值:60 秒
    最大连接数 连接池中的最大连接数。对于基于 LDAP 的目录(包括 Active Directory),默认值为 100。

    默认值:100
    超时 从池中获取连接时的超时。此期间过后将引发异常。

    默认值:300000 毫秒(5 分钟)
    退出间隔 可选:运行退出进程以清理池的间隔。退出进程将删除超过允许的闲置连接时间的闲置连接。

    默认值:120 分钟
    允许的闲置连接时间 可选:退出进程删除池中的闲置连接之前等待的时间。

    默认值:120 分钟
    增多连接 此选项指示连接池中的连接数是否可超过最大连接数。默认情况下处于选定状态。如果不允许连接池增大,那么,在为超时设置的时间内没有连接时,系统将返回错误。
    启用自定义身份验证模块 如果选中该复选框,则可以使用自定义身份验证模块对此用户目录中定义的用户进行身份验证。但必须在“安全选项”屏幕中输入身份验证模块的完全限定 Java 类名称。请参阅“设置安全选项”。

    自定义身份验证模块的身份验证对瘦客户端和胖客户端都是透明的,不要求更改客户端部署。请参阅《Oracle Enterprise Performance Management System 安全配置指南》中的“使用自定义身份验证模块”。
  7. 单击下一步

    Shared Services 使用“用户配置”屏幕中设置的属性来创建用户 URL,该用户 URL 用于确定针对用户的搜索的起始节点。使用此 URL 可加快搜索速度。

    注意:

    用户 URL 不应指向别名。EPM System 安全设置要求用户 URL 指向实际用户。

    Oracle 建议您使用屏幕的“自动配置”区域来检索所需的信息。


    “用户配置”屏幕的图例

    注:

    有关可在用户配置中使用的特殊字符的列表,请参阅“使用特殊字符”。

  8. 自动配置中,使用以下格式输入唯一的用户标识符:attribute=identifier;例如,uid=jdoe

    用户的属性显示在“用户配置”区域中。

    如果在配置 OID,您将无法自动配置用户筛选器,因为 OID 的根 DSE 不包含“命名上下文”属性中的条目。请参阅《Oracle Fusion Middleware Administrator's Guide for Oracle Internet Directory》中的 "Managing Naming Contexts"。

    注:

    您可以手动将必需的用户属性输入“用户配置”区域中的文本框。

    表 3-3 “用户配置”屏幕

    标签 说明脚注 1
    用户 RDN 用户的相对 DN。DN 的每个组成部分都称为一个 RDN,并表示目录树中的一个分支。用户的 RDN 通常相当于 uidcn

    有关限制,请参阅“使用特殊字符”。

    示例:ou=People
    登录属性 用于存储用户登录名的唯一属性(也可以是自定义属性)。在登录到 EPM System 产品时,用户使用此属性的值作为用户名。

    用户 ID(登录属性的值)在所有用户目录中必须唯一。例如,您可以分别使用 uidsAMAccountName 作为 SunONE 和 Active Directory 配置的登录属性。这些属性的值在所有用户目录(包括 Native Directory)中必须唯一。

    注:

    用户 ID 不区分大小写。

    注:

    如果针对 Kerberos 环境中 Oracle Application Server 上部署的 EPM System 产品将 OID 配置为外部用户目录,那么您必须将此属性设置为 userPrincipalName

    默认值

    • Active Directory:cn
    • Active Directory 外的 LDAP 目录:uid
    名字属性 用于存储用户的名字的属性

    默认值:givenName
    姓氏属性 用于存储用户的姓氏的属性

    默认值:sn
    电子邮件属性 可选:用于存储用户电子邮件地址的属性

    默认值:mail
    对象类

    用户的对象类(可与用户关联的必需和可选属性)。Shared Services 在搜索筛选器中使用此屏幕中列出的对象类。使用这些对象类,Shared Services 应可找到应加以设置的所有用户。

    注:

    如果您要将 Active Directory 或 ADAM 配置为用户目录类型其他以使用自定义 ID 属性,则必须将该值设置为 user

    如果需要,您可以手动添加对象类。要添加对象类,请在对象类框中输入对象类名,然后单击添加

    要删除对象类,请选择对象类并单击删除

    默认值

    • Active Directory user
    • Active Directory 外的 LDAP 目录: person、organizationalPerson、inetorgperson
    用于限制用户的筛选器

    一个 LDAP 查询,该查询仅检索要设置为具有 EPM System 产品角色的用户。例如,LDAP 查询 (uid=Hyp*) 仅检索其名称以 Hyp 开头的用户。

    “用户配置”屏幕验证用户 RDN,并建议使用用户筛选器(如果需要)。

    用户筛选器用于限制查询过程中返回的用户数量。如果用户 RND 标识的节点包含大量无需进行设置的用户,则用户筛选器特别有用。用户筛选器可用于排除不需要进行设置的用户,从而提高性能。
    多属性 RDN 的用户搜索属性 仅限 Active Directory 以外的启用了 LDAP 的用户目录:仅当目录服务器配置为使用多属性 RDN 时才应设置此值。您设置的值必须是 RDN 属性之一。您指定的属性值必须唯一并且该属性可以搜索。

    例如,假定 SunONE 目录服务器配置为合并 cn (cn=John Doe) 和 uid (uid=jDoe12345) 属性来创建类似下面的多属性 RDN:

    cn=John Doe+uid=jDoe12345, ou=people,
 dc=myCompany, dc=com

    在这种情况下,如果这些属性满足以下条件,则可以使用 cnuid

    • “连接信息”选项卡上的“用户 DN”字段中标识的用户可以搜索该属性

    • 该属性要求在用户目录中设置唯一值
    解析自定义主要组 仅限 Active Directory此复选框表示是否标识主要用户组,以便确定有效角色。此复选框在默认情况下处于选中状态。Oracle 建议不要更改这一设置。
    如果用户密码在以下天数内失效,则显示警告: 仅限 Active Directory此复选框表示 Active Directory 用户密码在指定天数内过期时是否显示警告消息。

    脚注 1 EPM System 安全性可能会在配置值为可选的一些字段中使用默认值。如果未在这类字段中输入值,则在运行时期间将使用默认值。

  9. 单击下一步

    此时将打开“组配置”屏幕。Shared Services 将使用此屏幕中设置的属性来创建组 URL,该 URL 用于确定针对组的搜索的起始节点。使用此 URL 可加快搜索速度。

    注意:

    组 URL 不应指向别名。EPM System 安全设置要求组 URL 指向实际组。如果要配置使用组别名的 Novell eDirectory,组 URL 内必须有可用的组别名和组帐户。

    注:

    可以选择是否在“组配置”屏幕中输入数据。如果不输入组 URL 设置,Shared Services 将在基本 DN 内搜索以查找组,从而可能会对性能产生负面影响,特别是在用户目录包含多个组的情况下尤为如此。

    “组配置”屏幕的图例
  10. 如果您的组织不打算设置组,或者未在用户目录中将用户归类到组中,请清除支持组。如果清除此选项,将禁用此屏幕上的字段。

    如果要支持组,Oracle 建议您使用自动配置功能来检索所需的信息。

    如果将 OID 配置为用户目录,您将无法使用自动配置功能,因为 OID 的根 DSE 不包含“命名上下文”属性中的条目。请参阅《Oracle Fusion Middleware Administrator's Guide for Oracle Internet Directory》中的 "Managing Naming Contexts"。

  11. 自动配置文本框中,输入唯一的组标识符,然后单击启动

    必须采用以下格式表示组标识符:属性=标识符;例如,cn=western_region

    组的属性显示在“组配置”区域中。

    注:

    您可以在“组配置”文本框中输入所需的组属性。

    注意:

    如果没有为节点名称中包含 /(斜杠)或 \(反斜杠)的用户目录设置组 URL,针对用户和组的搜索将会失败。例如,如果没有为节点中用户和组所在的用户目录(例如,OU=child\ou,OU=parent/ouOU=child/ou,OU=parent \ ou)指定组 URL,任何列举用户或组的操作都将失败。

    表 3-4 “组配置”屏幕

    标签 说明脚注 2
    组 RDN 组的“相对 DN”。该值为相对于基本 DN 的路径,用作组 URL。

    指定用于标识最低用户目录节点的组 RDN,该节点中包含您打算设置的所有组。

    如果使用 Active Directory 主要组进行设置,请确保主要组位于“组 RDN”中。如果它在组 URL 的范围之外,Shared Services 将不会检索主要组。

    组 RDN 对登录和搜索性能的影响很大。由于它是所有组搜索的起始点,因此,您必须确定其中包含 EPM System 产品所有组的最低可能的节点。要保证最佳性能,组 RDN 中存在的组的数量不应超过 10,000。如果存在更多组,请使用组筛选器,以便只检索您想要设置的组。

    注:

    如果组 URL 内可用组的数量超过 10,000,Shared Services 将显示警告。

    有关限制,请参阅“使用特殊字符”。

    示例:ou=Groups
    名称属性 用于存储组的名称的属性

    默认值

    • 包括 Active Directory 在内的 LDAP 目录:cn

    • Native DirectorycssDisplayNameDefault
    对象类

    组的对象类。Shared Services 在搜索筛选器中使用此屏幕中列出的对象类。使用这些对象类,Shared Services 应可找到与用户关联的所有组。

    注:

    如果您要将 Active Directory 或 ADAM 配置为用户目录类型其他以使用自定义 ID 属性,则必须将该值设置为 group?member

    如果需要,您可以手动添加对象类。要添加对象类,请在“对象类”文本框中输入对象类名,然后单击添加

    要删除对象类,请选择对象类,然后单击删除

    默认值

    • Active Directory group?member

    • Active Directory 外的 LDAP 目录: groupofuniquenames?uniquemember, groupOfNames?member

    • Native Directory groupofuniquenames?uniquemember, cssGroupExtend?cssIsActive
    用于限制组的筛选器

    一个 LDAP 查询,该查询仅检索要设置为具有 EPM System 产品角色的组。例如,LDAP 查询 (|(cn=Hyp*)(cn=Admin*)) 仅检索其名称以 HypAdmin 开头的组。

    如果组 RND 标识的节点包含大量无需进行设置的组,则用于限制查询返回的组数量的组筛选器特别重要。筛选器可以用于排除不需要进行设置的组,从而提高性能。

    如果使用 Active Directory 主要组进行设置,请确保所设置的任何组筛选器都可检索组 URL 范围内的主要组。例如,筛选器 (|(cn=Hyp*)(cn=Domain Users)) 将检索名称以 Hyp 开头的组以及名称为 Domain Users 的主要组。

    脚注 2 EPM System 安全性可能会在配置值为可选的一些字段中使用默认值。如果未在这类字段中输入值,则在运行时期间将使用默认值。

  12. 单击完成

    Shared Services 将保存配置并返回到“定义的用户目录”屏幕,该屏幕现在将列出您配置的用户目录。

  13. 测试配置。请参阅“测试用户目录连接”。
  14. 如果需要,更改分配的搜索顺序。有关详细信息,请参阅“管理用户目录搜索顺序”。
  15. 如果需要,请指定安全选项。有关详细信息,请参阅“设置安全选项”。
  16. 重新启动 Oracle Hyperion Foundation Services 和其他 EPM System 组件。