LDAP 安全有三个组件:
LDAP 安全对象
LDAP 树结构
标识名
用于验证的 LDAP 对象如下:
组织单元 (OU):objectClass organizationalUnit (OU)
组织单元对象类似于 Windows 目录。对于 LDAP,它通常存储组对象或用户对象。
组 (CN):objectClass 组 (CN) [也称 posixGroup]
与组织单元类似于目录一样,组对象类似于文件。组对象包含一个成员属性,该属性是一个标识名列表,其中定义了该组中的用户。
用户 (CN):objectClass 用户 (CN) [也称 organizationalPerson]
用户对象也类似于文件,它描述 LDAP 结构中的单个人员。与组对象不同,用户对象不包含列表。相反,其属性根据需要详细地描述用户。
LDAP 条目的结构与 UNIX 和 Windows 中我们熟悉的目录和文件的树结构相匹配。在配置 Weblogic 服务器期间配置基本组和主体时,使用树结构来构建对象的标识名非常重要。
标识名是与每个 LDAP 对象关联的一个值,用于将其与所有其他对象相区分。此值基于上面描述的树结构。要构建标识名,您基本上是从您要命名的对象一直构建到树顶端即可,因此,用户 John Doe 的标识名可以是:
CN=johndoe,OU=Users,OU=VSMGUI,DC=yourfirm,DC=com
对象类型在 DN 中通常采用大写,但小写也有效。对于对象名称,大小写需要与实际名称的大小写完全匹配。此外,在逗号与对象类型之间不应当有空格。DN 中唯一应当存在的空格是对象名称中存在的那些空格,因此,VSM Admins 的 DN 可能是:
CN=VSM Admins,OU-Groups,OU=VSMGUI,DC=yourfirm,DC=com
Weblogic 中对于什么是有效的 DN 具有限制。Weblogic 服务器不允许可能会被添加到 DN 的某些字符。这些字符为逗号 Comma (,)、加号 (+)、引号 (”)、反斜杠 (\)、尖括号(< 和 >)以及分号 (;)。
在这些字符中,最常见的是逗号,特别是当用户名采用 Smith, John 形式时。上述情况经常发生在 Active Directory 中,虽然任何 DN 都可能包含这些字符之一。这很重要,因为始终会有某个用户被设置为主体,即允许访问 LDAP 服务器的用户。如果您的 DN 包含这些字符中的任何一个,则必须将主体添加为具有一个不同的对应 DN 的特殊用户。
注:
根据客户环境,上面描述的默认配置可能不适合为不同组织定义的 LDAP 布局方案。例如,组信息可以位于一个完全独立的子树中,以便组可以存在于定义了组的目录中并且可以命名为 VSMGUI Groups。用户可以位于一个完全独立的子树中并且可以命名为 VSMGUI Users。组织单元 VSMGUI 可能根本不需要定义。位置的这些更改将在 Weblogic 配置中为这些字段创建一个不同的 DN,并且必须相应地设置这些更改。
有两种不同的方式可用来设置用户。通常,您将需要将已存在的用户的名称添加到一个新的组织单元,并使该组织单元成为用户基目录。如果愿意,您还可以将用户基目录设置为任何容器类型的 LDAP 对象,使属于该组成员的所有用户都可以使用 VSM GUI。
在 LDAP 服务器中设置值通常要求人员对 LDAP 服务器具有安全访问权限。如果您要设置新服务器,则您应当能够以管理员身份访问 LDAP 服务器。
请特别注意 DN 值(主体、用户基 DN 和组基 DN),并确保名称过滤器值正确地定义了属性值和对象类值。所有项都必须完全与 Active Directory 值保持一致,验证机制才能正确运行。