WPS动态组的创建和使用.docVIP

动态组的创建和使用  目 录 1 目的： 4 2 动态组创建方法： 4 2.1 创建用户组账号 6 2.2 配置WebSphere Portal支持动态组 8 3 Bind用户创建及授权方法 11 3.1 创建Bind用户 11 3.2 Bind用户ACL设置 13 4 附件：LDAP语法说明 15  目的： 动态组作为目录系统中一个定义组用户非常灵活的方法，正在被广泛的应用。在本项目中，我们将使用动态组为门户系统各应用定义对应的用户，使得用户登录门户系统后，能够自动的完成相关栏目的授权访问。 动态组的创建和使用将极大地方便管理员对组用户的管理，通过对用户某个属性的修改，就会更改用户在动态组的状态。也就是说，动态组的创建是一次性的，门户系统只要对动态组进行授权即可，用户是否在动态组将通过修改用户的属性进行调整。 动态组创建方法： 登录IDS系统中目录系统的Web Admin，打开浏览器访问（:9080/IDSWebApp/IDSjsp/Login.jsp） 在LDAP主机名中选择IDS，并输入管理员用户名和口令，进行登录。 2、在“目录管理”中选择“添加条目”，从“结构对象类”中选择“groupOfURLs”，点击“下一步”； 在“辅助对象类”中选择“ibm-appUUIDAux”，并添加到选定区域，点击“下一步”； 创建用户组账号 输入相关信息：相对DN：组名称，一个比较容易区别的名称 父DN：cn=groups,dc=tam,dc=sgmam,dc=com，该值为固定值，不能更改！！！ Cn：组名称的描述信息 点击“其它属性”，填写“ibm-appUUID”和“memberURL”值。 Ibm-appUUID：数字编号，确认该值唯一即可！！！ memberURL：成员信息，该值为LDAP系统的查询语法，详细说明见附件，本次值为：ldap:///cn=employees,dc=jq,dc=tam,dc=sgmam,dc=com??sub?uid=* 点击“完成”，完成动态组的添加。  配置WebSphere Portal支持动态组 1、当为WebSphere Portal设置了安全性后，在WebSphere Application Server 管理控制台中需要做以下设置（当需要在WAS管理控制台中以动态组作为控制台组）： 1． 选择安全性-用户注册表-LDAP，选择高级LDAP设置 2． 在组过滤器中添加（objectclass=groupOfURLs），添加后的条目如下所示：((cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)(objectclass=groupOfURLs))) 3． 在组成员标识映射中添加groupOfURLs:memberURL，添加后的条目如下所示： groupOfUniqueNames:uniqueMember;ibm-allGroups:member;ibm-allGroups:uniqueMember;groupOfURLs:memberURL 4． 确定，保存主配置，然后重启应用服务器生效 2、在IDS中定义动态组（参照上面创建的方法） 1． 在目录管理中选择添加条目 2． 选择结构对象类为groupOfURLs，然后下一步 3． 选择辅助对象类为ibm-appUUIDAux，然后下一步 4． 填入相对DN，并选择父DN，再填入必需属性cn，例如相对DN=dynamic，父DN=cn=groups,dc=tam,dc=sgmam,dc=com 5． 填入ibm-appUUID和memberURL，例如ibm-appUUID=1，memberURL=ldap:///dc=sgmam,dc=com??sub?givenName=wps，然后确定，完成动态组的定义。 6． 选择定义好的动态组，查看其成员，如果有符合条件的成员存在，就可以看到。例如上面定义的dynamic组里面有两个成员wpsbind和wpsadmin 3、配置WebSphere Portal来支持动态组 1． 打开/../WebSphere\PortalServer\shared\app\wmm\wmm.xml文件，找到 supportedLdapEntryType name=Group rdnAttrTypes=cn objectClassesForRead=groupOfUniqueNames objectClassesForWrite=groupOfUniqueNames;ibm-appUUID