Verwenden von CA AppLogic® › Grid-Administrationshandbuch › Rollenbasierte Zugriffskontrolle › Konfigurieren von Verzeichnisdiensten

Konfigurieren von Verzeichnisdiensten

Lokaler Verzeichnisdienst

Jedes Grid enthält seinen eigenen lokalen Verzeichnisdienst. Dieser Dienst wird verwendet, um lokale Benutzer und Gruppen zu verwalten. Er wird auch verwendet, um Informationen über globale Benutzer und Gruppen zu speichern. Bei der Authentifizierung eines Benutzers beispielsweise wird die Mitgliedschaft dieses Benutzers in seiner globalen Gruppe aus dem globalen Verzeichnis gelesen und im lokalen Verzeichnis zwischengespeichert. Außerdem werden globale Benutzerprofileigenschaften im lokalen Verzeichnis gespeichert.

Benutzer und Gruppen werden mithilfe der Befehle für CLI-Benutzer und -Gruppen verwaltet.

Wenn ein Grid neu erstellt wird, wird BFC verwendet, um einen ersten lokalen Benutzer zu erstellen. Dieser Benutzer wird zu einem Mitglied der lokalen Gruppe "admin". Der erste Benutzername und das erste Kennwort werden in der BFC-Benutzeroberfläche angegeben:

Globaler Verzeichnisdienst

Ein globaler Verzeichnisdienst wird außerhalb von CA AppLogic® verwaltet. Ein CA AppLogic®-Grid kann konfiguriert werden, um einen globalen Verzeichnisdienst zur Benutzerauthentifizierung und dafür zu verwenden, globale Gruppenmitgliedschaften zu bestimmen. Die Verwendung eines globalen Verzeichnisdienstes hat mehrere Vorteile:

• Es besteht kein Bedarf, Grid-spezifische Benutzer, Kennwörter und Gruppen zu verwalten.
• Organisationen mit mehreren Grids können die gleichen Benutzernamen, Kennwörter und Gruppennamen verwenden, um auf ihre CA AppLogic®-Grids zuzugreifen (auch wenn die Grids von verschiedenen Service Provider zur Verfügung gestellt werden).
• Die Benutzerauthentifizierung wird von einem externen Dienst ausgeführt, der auch von vielen anderen Softwaresystemen innerhalb einer Organisation verwendet werden kann. Zum Beispiel können vorhandene Benutzerkonten des Unternehmens verwendet werden, um Zugriff auf CA AppLogic®-Grids zu gewähren.
• Objekt-ACL-Einträge von CA AppLogic®, die sich auf globale Benutzer oder globale Gruppen beziehen, können während des Objektimports, -exports und der -migration beibehalten werden. Wenn ein Objekt importiert oder zu einem anderen Grid migriert wird, das den gleichen globalen Verzeichnisdienst verwendet, werden diese Einträge erkannt.

Die Konfiguration der Interaktion von CA AppLogic® mit einem globalen Verzeichnisdienst wird mithilfe von Backbone Fabric Controller (BFC) ausgeführt. Diese Konfiguration ist geschützt und kann nur von den Verwaltern von Backbone Fabric Controller geändert werden. BFC kann verwendet werden, um diese Konfiguration bei der Grid-Erstellung oder jederzeit danach auszuführen. CA AppLogic® unterstützt sowohl Active Directory als auch allgemeine LDAP-Verzeichnisdienste.

Das folgende Fenster zeigt eine typische Konfiguration, die Active Directory als globalen Verzeichnisdienst verwendet.

Das folgende Fenster zeigt eine typische Konfiguration, die allgemeines LDAP als globalen Verzeichnisdienst verwendet.

Änderungen an der Schnittstelle der Konfiguration des globalen BFC-Verzeichnisses treten in Kraft, sobald sie auf das Grid übertragen werden. Es ist nicht erforderlich, den Controller oder das Grid neu zu starten. Die folgenden Einschränkungen betreffen die Grid-Interaktion mit einem globalen Verzeichnisdienst:

• Benutzer und Gruppen-IDs müssen zulässige UTF-8-Zeichenfolgen mit den folgenden Beschränkungen sein: "/" ist ein ungültiges Zeichen; alle ASCII-Steuerzeichen sind ungültig; die ID darf nicht nur aus Punkten und Leerzeichen bestehen.
• Die allgemeine LDAP-Konfiguration erkennt nur die folgenden standardmäßigen LDAP-Benutzer- und -Gruppenobjektklassen: person, inetOrgPerson, organizationalPerson, groupOfNames und groupOfUniqueNames.

Hinweis: Wir empfehlen, dass Sie die Informationen zur Authentifizierungskonfiguration in BFC lesen.