您可以使用 IBM® Security Directory Server 提供用於認證的可信身份數據基礎結構。
IBM Security Directory Server 提供一個使用 DB2® 數據庫存儲目錄信息的服務器。它還提供一個代理服務器,用於將 LDAP 操作路由到帶數據庫的目錄服務器。IBM Security Directory Server 提供“實例管理工具”(idsxinst) 和“配置工具”(idsxcfg) 等客戶機實用程序和圖形用戶界面 (GUI) 來管理服務器。
IBM Security Directory Server 提供下列功能部件:
- 強大而權威的企業目錄基礎結構,它是企業安全性的關鍵促成因素。
- IBM Security Integrated Identity Management 產品服務組合的重要組成部分。它在身份管理、門戶網站和 Web 服務等應用程序的企業身份數據基礎結構構建中扮演重要角色。
- WebSphere® Application Server 和 Portal,IBM Security Identity Manager 和 Access Manager,以及 AIX® 操作系統的缺省目錄。
通俗的講,國產軟件的用戶管理數據庫多數是自己搞一個,而西方的多數採用LDAP服務器。兩者之間的區別這裡不多說,大家自行對比。
一、測試環境準備
操作系統Windows Sever 2008R2。必須用純淨版,最好是手動一步步安裝的操作系統,確保操作系統是純淨安裝沒有任何修改,否則會有很多問題。
準備計算機基本信息,下面修改服務器名稱是個人習慣,大家可參考
更改復讀機名,並點“其他”
給此計算機增加DNS後綴
確定之後,會要求重啟服務器。重啟之後,查看計算機名稱,如下圖
二、安裝WAS
因為後續要使用WAS環境運行TDS的WEB服務,這裡提前安裝
先安裝IBM的應用程序安裝工具IBM Installation Manger
檢查選擇無誤
接受協議
根據個人需要修改安裝目錄
檢查無誤開始安裝,這是支持多語言環境的
安裝完成,重啟安裝工具。
下面開始安裝WAS ND 8.5
選擇首先選
添加存儲庫
添加結果
安裝
選擇要安裝的軟件包,下一步
接受許可協議
修改目錄,根據自己需要
修改安裝目錄
安裝語言包,可以選擇多個人語言包
檢查
默認安裝即可
確認無誤,開始安裝
安裝過程
安裝完成,同時開始創建概要文件
創建
選擇程序服務器
可以選擇高級,根據需要
自行設置一個管理員帳戶和密碼
檢查無誤。高級可以自定義
開始創建
安裝完成,可以啟動控制檯
這裡直接關閉
創建WEB服務插件,在開始程序裡面找到
添加
根據實際安裝路徑選擇
創建WEb服務器插件
選擇IBM HTTP Server
根據實際安裝路徑選擇
輸入自定義的管理員名稱和密碼
下一步
下一步
根據實際情況設置,可以選擇遠程WAS服務器。這裡是本機
下一步
配置
配置完成
在服務裡面啟動下圖紅色標記的服務,其中的IBM HTTP Server重啟
啟動服務器
啟動WAS管理管制臺
用配置概要文件時設置的帳戶和密碼登錄
選擇服務器
設置JDK
更改Java版保存之後註銷帳戶重啟WAS
重啟WAS:停止服務器,啟動服務器
三、開始安裝IBM Security Directory Server
開始
下一步
接受許可協議
根據需要修改安裝目錄,注意看這是64位
把Web工具選擇上,方便通過Web管理
可以修改db2管理員密碼。注意Windows密碼策略的影響。
下一步
下一步
選擇部署到WAS中,注意這個路徑是前面安裝的位置
點安裝
安裝過程
安裝完成。錯誤不用管。
安裝完成之後啟動實例管理工具創建實例
創建實例
下一步
輸入相關信息,下一步。其中加密種子有長度要求
完成。開始創建
創建過程
安裝完成
增加自己需要的後綴,點“管理”
管理
添加後綴DN
確定之後,需要重新啟動服務器
啟動
下圖1停止重啟,啟動2
啟動服務器
完成啟動
檢查無誤後關閉
打開管理工具
下圖輸入用戶標識superadmin和密碼secret
登錄
在下圖添加服務器
添加服務器
輸入服務器信息
建議修改默認密碼,然後註銷,重新登錄
修改密碼
重新登錄
here
輸入配置時候設置的管理員密碼
在這裡可以添加domino、container或用戶
我們先添加自己的domino
選擇對象類為domino
下一步
輸入相對DN,要和前面添加的後綴一樣
完成
下圖可以看到新增加的domino
新domino
下面我們在dc=jiyuan,dc=net這個domino添加下container
選擇對象類為container
默認,下一步
下圖輸入cn=users,以及在dc中輸入users,接著選擇父代DN,點“瀏覽”
根據需要自定義輸入
選擇剛才創建的domino:dc=ijiyuan,dc=net
完成
下圖根據需要決定是否繼續添加container,我們這裡選擇否
根據需要確定
點圖中加號就可以看到新創建的container
點開
cn=users
在上圖的“添加”可以開始添加用戶了,選擇對象類為inetOrgPerson
下圖輸入相關內容,父代DN選擇:cn=users,dc=ijiyuan,dc=net,之所以這樣做,是因為我們還可以新建一個guaqi的container,方便將來把一些停止使用的用戶給移到guaqi這個dn下面。在使用的時候不一定要刪除用戶。當然,也可以按部門創建需要的container,例如可以創建cn=cwb、cn=ywb、cn=yfb等不同的container,然後把人員放到部門的container中。至於如何使用,關於在於使用者。
輸入相關信息
下圖可選屬性非常多,根據自己的需要添加,如果不夠還可以自定義人員屬性
為人員輸入相關數據
下圖輸入uid,正常情況下用uid做為帳戶,也有用cn、sn做為帳戶的,同樣也可以用email作為帳戶,關鍵在於你如何定義規則。使用哪個做為登錄帳戶,就要確保這個值是唯一的。其中顯示多值的表示可以有多個值。
成功之後就可以看到如下人員信息
我們可以下圖設定密碼策略,可以創建新的為某些人單獨使用密碼策略,也可以讓所有人使用同一個密碼策略。
下圖簡單看個例子
密碼鎖定時間
密碼最少長度,不同於先前密碼的最少字符數
還有下面的密碼策略
設置密碼策略
次數、時間限制
語法檢查
下面可以選擇要使用的加密、算法
加密
算法
密碼加密
密碼加密
如果屬性不夠用,可以下圖管理、添加,例如我們可以給人員添加省、市、縣、鎮等屬性,方便人員管理
管理屬性
下面看看如何在WAS中使用LDAP用戶,登錄WAS控制檯,“配置”
配置
添加存儲庫
新建LDAP存儲庫
下圖對應選擇及設置,其中用戶登錄的屬性,這裡設置的是允許用戶使用uid、cn、sn登錄
配置LDAP連接
應用、保存之後會回到下面的界面,我這裡設置的dn是cn=users,dc=ijiyuan,dc=net,這就意味著只有下面的用戶可以登錄。
設置DN
下圖可以看到新增加的存儲庫,記得把2打對號,應用、保存、確定。
存儲庫設置
這個時候可以看看用戶裡面的帳戶信息,因為需要重啟生效,所以這裡只有一個系統默認的。下面重啟WAS。
用戶列表
在這裡我們就可以看到一個企業級的用戶管理機制,和可擴展的能力。如果程序員自己寫一套用戶數據庫也沒有問題,但沒有使用已經做好的LDAP方便,無論是靈活性、密碼策略、擴展性都是非常強大的。程序員這個時候只需要按標準方法連接LDAP調用已有的功能完成用戶創建、編輯、刪除、認證等操作,可以節省程序員大量的工作,提高軟件開發效率。下圖是重啟之後就可以看到的用戶信息。
用戶列表
在WAS裡面可以配置LTPA和單點登錄
LTPA和單點登錄
LTPA設置
SSO設置
應用程序的數據庫連接可以在下面配置和管理
數據源
下圖可以配置數據庫的連接池屬性
連接池屬性
可以自定義
數據庫的連接在這裡
設置服務器地址
下圖可以設置數據庫密碼
管理數據庫連接
管理資源
設置數據庫用戶和密碼
在這裡我們就可以發現WAS下面程序只需要通過WAS的JDBC調用數據庫資源就可以了,數據庫帳戶和密碼程序員可以不用知道。WAS管理員也可以後續修改數據庫密碼,以此實現系統管理和軟件開發的分享。可以在下圖管理應用程序,包括安裝、更新、刪除等操作
應用程序管理
服務器內存管理可以在下面完成
進程定義
選擇Java虛擬機
設置大小
閱讀更多 深海淡水 的文章
