Existen tres componentes para la seguridad de LDAP:
Objetos de seguridad de LDAP
La estructura de árbol de LDAP
El nombre distintivo
Los objetos de LDAP usados para la autenticación son los siguientes:
Organizational Unit (OU) (Unidad organizativa): objectClass organizationalUnit (OU)
Un objeto de unidad organizativa es similar a un directorio de Windows. Para LDAP, generalmente retiene objetos de grupo u objetos de usuario.
Group (CN) (Grupo): grupo objectClass (CN) [también posixGroup]
De la misma manera en que una unidad organizativa es similar a un directorio, un objeto de grupo es similar a un archivo. El objeto de grupo contiene un atributo de miembro que es una lista de nombres distintivos que definen a los usuarios en ese grupo.
User (CN) (Usuario): usuario objectClass (CN) [también organizationalPerson]
El objeto de usuario, también similar a un archivo, describe una persona única dentro de una estructura de LDAP. A diferencia de un grupo, un usuario no contiene una lista. En cambio, sus atributos describen a un usuario con mayor detalles que los necesarios.
La estructura de las entradas de LDAP coinciden con la estructura de árbol familiar de directorios y archivos encontrados en UNIX y Windows. Cuando configure el Grupo base y Principal durante la configuración del servidor de Weblogic, será fundamental que use la estructura de árbol para crear el nombre distintivo del objeto.
El nombre distintivo es un valor asociado con cada objeto LDAP que lo distingue de los demás objetos. Este valor se basa en la estructura de árbol descripta anteriormente. Para crear un nombre distintivo, generalmente, se va desde el objeto al cual se está nombrando hasta la parte superior del árbol, de manera que el nombre distintivo para el usuario John Doe, sería:
CN=johndoe,OU=Users,OU=VSMGUI,DC=yourfirm,DC=com
El tipo de objeto generalmente se escribe con mayúscula en el nombre distintivo (DN), pero también se puede escribir con minúscula. Para el nombre del objeto, se deben respetar las mayúsculas y minúsculas del nombre real. Además, no debería haber espacios entre las comas y los tipos de objeto. Los únicos espacios que deberían existir en un nombre distintivo son aquellos que existen en el nombre del objeto; por lo tanto, el nombre distintivo para el administrador de VMS podría ser:
CN=VSM Admins,OU-Groups,OU=VSMGUI,DC=yourfirm,DC=com
Existe una restricción en Weblogic en lo que respecta a los nombres distintivos válidos. Algunos caracteres que se pueden agregar a un nombre distintivo no están permitidos en el servidor de Weblogic. Estos caracteres son coma (,), signo más (+), comillas (”), barra invertida (\), paréntesis angulares (< y >) y punto y coma (;).
De estos, el más común es la coma, especialmente si el nombre de usuario tiene la forma Smith, John. Esto generalmente sucede en Active Directory, aunque cualquier nombre distintivo puede tener uno de estos caracteres. Esto es importante porque uno de los usuarios siempre está configurado como principal, el usuario que permite el acceso al servidor LDAP. Si los nombres distintivos contienen alguno de estos caracteres, se debe agregar el principal como un usuario especial con un nombre distintivo correspondiente diferente.
Notas:
De acuerdo con el entorno del cliente, es posible que la configuración por defecto descrita anteriormente no se ajuste al esquema de disposición de LDAP definido para las distintas organizaciones. Por ejemplo, la información de grupo puede estar en un árbol secundario completamente separado, de manera que los grupos existan en un directorio en donde se definan los grupos y, posiblemente, se denominen VSMGUI Groups (Grupos VSMGUI). Los usuarios pueden estar en un árbol secundario totalmente separado y se pueden denominar VSMGUI Users (Usuarios VSMGUI). Es posible que no sea necesario definir Organizational Unit VSMGUI (Unidad organizativa VSMGUI). Estos cambios de ubicación crearán un nombre distintivo diferente para los campos en la configuración de Weblogic y se deberán establecer según corresponda.
Hay dos maneras diferentes de configurar usuarios. Generalmente, deseará agregar los nombres de usuarios que ya existen en una unidad organizativa nueva y hacer que se convierta en User Base Directory (Directorio base de usuario). Si lo prefiere, también puede establecer el directorio base de usuario en cualquier objeto LDAP de tipo contenedor, lo que hace que todos los miembros de ese grupo estén disponibles para usar la GUI de VSM.
Configurar los valores en el servidor LDAP generalmente requiere una persona con acceso de seguridad al servidor LDAP: Si está configurando un servidor nuevo, debería poder acceder al servidor LDAP como administrador.
Preste atención especial a los valores del nombre distintivo (Principal, nombre distintivo de base de usuario y nombre distintivo de grupo de base) y asegúrese de que los valores de filtro de nombre definan correctamente los valores de atributo y clase de objeto. Todo debe estar perfectamente alineado con los valores de Active Directory para que la autenticación se realice de manera adecuada.