Uso de CA AppLogic® › Guía de administración del grid › Control de acceso basado en roles › Configuración de servicios de directorio

Configuración de servicios de directorio

Servicio de directorio local

Cada grid incluye su propio servicio de directorio local. Este servicio se utiliza para gestionar usuarios y grupos locales. También se utiliza para almacenar algunos datos de usuarios y grupos globales. Por ejemplo, durante el proceso de autenticación de un usuario global, se lee en el directorio global la pertenencia de dicho usuario al grupo global y a continuación ésta se almacena en la memoria caché del directorio local. Además, las propiedades del perfil de usuarios globales se almacenan en el directorio local.

Los usuarios y grupos se gestionan mediante los comandos de usuario y grupo de la interfaz de línea de comandos (CLI).

Cuando se crea un grid se utiliza BFC para crear un usuario local inicial. El usuario se convierte en miembro del grupo local admin. El nombre del usuario y contraseña iniciales se introducen en la interfaz gráfica de usuario de BFC:

Servicio de directorio global

Los servicios de directorio globales se gestionan desde fuera de CA AppLogic®. Los grids de CA AppLogic® se pueden configurar de forma que utilicen un servicio de directorio global para la autenticación de usuario y para determinar la pertenencia a grupos globales. El uso de servicios de directorio globales comporta diversas ventajas:

• No es necesario mantener usuarios, contraseñas y grupos específicos para el grid.
• Las organizaciones que disponen de varios grids pueden utilizar los mismos nombres de usuario, contraseñas y nombres de grupo para acceder a los grids de CA AppLogic® (incluso si los grids utilizan proveedores de servicios distintos).
• Un servicio externo realiza la autenticación de usuario. Es posible utilizar este mismo servicio con otros sistemas de software dentro de la organización. Por ejemplo, las cuentas de usuario corporativas existentes se pueden utilizar para obtener acceso a los grids de CA AppLogic®.
• Las entradas de listas de control de acceso de objetos de CA AppLogic® referentes a usuarios globales o grupos globales se pueden conservar durante la importación, exportación y migración de objetos. Si un objeto se importa o se migra a otro grid que utiliza el mismo servicio de directorio global, se reconocerán las entradas del objeto.

La configuración de la interacción de CA AppLogic® con un servicio de directorio global se realiza por medio de Backbone Fabric Controller (BFC). Esta configuración está protegida y sólo la podrán modificar los encargados de mantenimiento de Backbone Fabric Controller. Se puede utilizar BFC para establecer esta configuración durante la creación del grid o en cualquier momento posterior. CA AppLogic® es compatible con servicios de directorio Active Directory y LDAP genérico.

La siguiente pantalla muestra una configuración habitual que utiliza Active Directory como un servicio de directorio global.

La siguiente pantalla muestra una configuración habitual que utiliza LDAP genérico como un servicio de directorio global.

Los cambios realizados en la interfaz de configuración del directorio global de BFC se aplican tras propagarse al grid. No es necesario volver a arrancar el controlador ni el grid. Las siguientes restricciones afectan la interoperación del grid con un servicio de directorio global:

• Los ID de usuario y grupo deben ser cadenas válidas de formato UTF-8 con las limitaciones siguientes: / no es un carácter válido. Ninguno de los caracteres de control ASCII es válido. El ID no puede estar compuesto únicamente por caracteres de punto y/o de espacio.
• La configuración de LDAP genérico reconoce únicamente las siguientes clases de objeto de usuario y grupo estándares de LDAP: person, inetOrgPerson, organizationalPerson, groupOfNames y groupOfUniqueNames.

Nota: Se recomienda la lectura de la información acerca de la autenticación de configuración en BFC.