使用 CA AppLogic® › 网格管理指南 › Role-Based Access Control › 配置目录服务

配置目录服务

本地目录服务

每个网格包括其自身的本地目录服务。 该服务用于管理本地的用户和组。 它也用于存储有关全局用户和组的一些信息。 例如，在全局用户验证时，该用户的全局组成员身份从全局目录中读取并在本地目录中缓存。 此外，全局用户配置文件属性存储在本地目录中。

使用 CLI 用户和组命令来管理用户和组。

首次创建网格时，BFC 用于创建最初的本地用户。 该用户成为本地组 admin 的成员。 初始的用户名和密码在 BFC GUI 中提供：

全局目录服务

全局目录服务在 CA AppLogic® 之外进行管理。 针对用户身份验证以及确定全局组成员身份，可以将 CA AppLogic® 网格配置为使用全局目录服务。 使用全局目录服务有以下几个益处：

• 无需维护网格特定用户、密码和组。
• 具有多个网格的组织可以使用相同的用户名、密码和组名来访问他们的 CA AppLogic® 网格（即使网格由不同的服务提供商提供）。
• 用户身份验证由外部服务执行，这些服务也可由组织内部的许多其他软件系统使用。 例如，现有公司用户帐户可用于提供对 CA AppLogic® 网格的访问权限。
• 在对象导入、导出和迁移期间，可将指代全局用户或全局组的 CA AppLogic® 对象 ACL 条目保留。 如果将对象导入或迁移到使用相同全局目录服务的其他网格，则会识别这些条目。

使用 Backbone Fabric Controller (BFC) 执行与全局目录服务的 CA AppLogic® 交互的配置。 该配置受到保护，且仅可由 Backbone Fabric Controller 的维护人员进行更改。 BFC 可在网格创建或之后的任何时候用于执行该配置。 CA AppLogic® 既支持 Active Directory，又支持常规 LDAP 目录服务。

下列的屏幕显示典型的配置，这些配置使用 Active Directory 作为全局目录服务。

下列的屏幕显示典型的配置，这些配置使用常规 LDAP 作为全局目录服务。

一旦将更改传播到网格，那么由 BFC 全局目录配置接口生成的更改即会生效。 无需重新启动控制器或网格。 以下限制会影响与全局目录服务的网格交互操作：

• 用户和组 ID 必须是有效的 UTF-8 字符串，限制如下：/ 是无效字符；所有 ASCII 控制字符无效；ID 不得仅包含句号和空格。
• 常规 LDAP 配置仅识别下列标准的 LDAP 用户和组对象类：person、inetOrgPerson、organizationalPerson、groupOfNames 以及 groupOfUniqueNames。

注意：建议您阅读在 BFC 中配置身份验证的相关信息。