使用 CA AppLogic › 网格管理指南 › Role-Based Access Control › 配置目录服务

配置目录服务

本地目录服务

每个网格包括其自身的本地目录服务。 该服务用于管理本地的用户和组。 它也用于存储有关全局用户和组的一些信息。 例如，在全局用户验证时，该用户的全局组成员身份从全局目录中读取并在本地目录中缓存。 此外，全局用户配置文件属性存储在本地目录中。

使用 CLI 用户和组命令来管理用户和组。

首次创建网格时，BFC 用于创建最初的本地用户。 该用户成为本地组 admin 的成员。 初始的用户名和密码在 BFC GUI 中提供：

全局目录服务

全局目录服务在 CA AppLogic 之外进行管理。 针对用户身份验证以及确定全局组成员身份，可以将 CA AppLogic 网格配置为使用全局目录服务。 使用全局目录服务有以下几个益处：

• 无需维护网格特定用户、密码和组。
• 具有多个网格的组织可以使用相同的用户名、密码和组名来访问他们的 CA AppLogic 网格（即使网格由不同的服务提供商提供）。
• 用户身份验证由外部服务执行，这些服务也可由组织内部的许多其他软件系统使用。 例如，现有公司用户帐户可用于提供对 CA AppLogic 网格的访问权限。
• 在对象导入、导出和迁移期间，可将指代全局用户或全局组的 CA AppLogic 对象 ACL 条目保留。 如果将对象导入或迁移到使用相同全局目录服务的其他网格，则会识别这些条目。

使用 Backbone Fabric Controller (BFC) 执行与全局目录服务的 CA AppLogic 交互的配置。 该配置受到保护，且仅可由 Backbone Fabric Controller 的维护人员进行更改。 BFC 可在网格创建或之后的任何时候用于执行该配置。 CA AppLogic 既支持 Active Directory，又支持常规 LDAP 目录服务。

下列的屏幕显示典型的配置，这些配置使用 Active Directory 作为全局目录服务。

下列的屏幕显示典型的配置，这些配置使用常规 LDAP 作为全局目录服务。

一旦将更改传播到网格，那么由 BFC 全局目录配置接口生成的更改即会生效。 无需重新启动控制器或网格。 以下限制会影响与全局目录服务的网格交互操作：

• 用户和组 ID 必须是有效的 UTF-8 字符串，限制如下：/ 是无效字符；所有 ASCII 控制字符无效；ID 不得仅包含句号和空格。
• 常规 LDAP 配置仅识别下列标准的 LDAP 用户和组对象类：person、inetOrgPerson、organizationalPerson、groupOfNames 以及 groupOfUniqueNames。

注意：建议您阅读在 BFC 中配置身份验证的相关信息。