保护 Introscope › 使用 LDAP 保护 Introscope

使用 LDAP 保护 Introscope

LDAP 仅支持用户身份验证。 如果部署 Introscope 安全设置以便企业管理器直接连接 LDAP 服务器进行身份验证，则必须使用本地安全设置进行授权。 在这种情况下，使用本地安全设置进行授权意味着：

• 对于 Introscope，必须在 LDAP 服务器上创建用户和组，然后在 domains.xml 文件中分配权限。
• 对于 CA CEM，必须在 LDAP 服务器上创建用户和所有四个默认安全组。 例如，在 LDAP 服务器上，创建 cemadmin 用户以及“CEM 系统管理员”安全组。 然后将 cemadmin 分配为“CEM 系统管理员”安全组的成员，从而为 cemadmin 提供 “CEM 系统管理员”安全组权限。 有关四个 CA CEM 默认安全组的信息，请参阅与默认 CA CEM 安全用户组关联的菜单项和权限。

注意：如果使用 CA EEM 部署 Introscope 安全，并且 CA EEM 服务器与 LDAP 服务器集成，则可配置 CA EEM 服务器让 LDAP 执行身份验证。 在这种情况下，企业管理器不会连接到 LDAP 服务器，并且不知道 LDAP 服务器。 有关详细信息，请参阅配置使用 LDAP 的 CA EEM 身份验证。 在这种情况下，Introscope 使用 CA EEM 进行授权。

重要信息！ 如果使用本地安全进行授权，将无法提供应用程序分类视图安全，也无法在 CA CEM 中设置访问策略以控制选项卡和数据可见性。 如果要提供应用程序分类视图，并在 CA CEM 中使用访问策略，必须部署 CA EEM 进行授权。

在设置使用本地授权进行 Introscope LDAP 身份验证之前，了解这种类型的安全设置和权限检查很有用。

Introscope LDAP 身份验证支持以下 v3 LDAP 服务器和各种其他服务器：

• IBM Directory Server（版本 5.1）－有关该配置的示例，请参阅 IBM Directory Server 的 realms.xml 语法。
• Sun ONE Directory Server（版本 5.1）－有关该配置的示例，请参阅 Sun ONE Directory Server 的 realms.xml 语法。
• MS Active Directory（Windows 2000 和 2003 版本）－有关该配置的示例，请参阅 MS Active Directory 的 realms.xml 语法。

现在，您已经了解了 Introscope 安全设置方面的一些背景知识，可以制定您的安全部署计划了。

以下是设置和维护 LDAP 安全性的过程：

1. 在 LDAP 服务器上设置 CA APM 用户和组。
2. 在 realms.xml 中添加 LDAP 作为安全领域。
3. 设置本地授权。