Fédération de deux serveurs LDAP sans organisation racine commune

Vous pouvez optimiser les fonctions d'intégration de répertoire du gestionnaire de membres virtuels dans WebSphere Application Server afin d'effectuer un mappage entre différentes hiérarchies organisationnelles dans LDAP.

Before you begin

Avant de fédérer plusieurs serveurs LDAP (avec une racine commune ou différentes racines), prenez soin de vérifier que le préfixe RDN des utilisateurs est le même, par exemple, uid ou cn, et non une combinaison des deux.

About this task

Le mappage de ces structures d'organisation incohérentes est spécifié dans le fichier de configuration du gestionnaire de membres virtuels. Pour mapper les différentes hiérarchies organisationnelles LDAP à la base de données HCL Commerce, vous devez configurer le mappage dans le gestionnaire de membres virtuels.

Procedure

  1. Avant de configurer HCL Commerce avec LDAP, vérifiez qu'un nouvel administrateur a été créé sous l'organisation vendeuse HCL Commerce (o=seller organization,o=root organization) avec le rôle administrateur pour l'organisation racine (o=root organization). Cet utilisateur est votre nouvel administrateur de site, puisque l'administrateur de site (utilisateur -1000) se trouve au-dessus des deux nouvelles entrées de base qui vont être créées. Voici un exemple de configuration LDAP :

    HCL Commerce DN de l'organisation (ne pas modifier) Nom distinctif LDAP1 correspondant (Clients) Nom distinctif LDAP2 correspondant (Administrateurs)
    o=default organization,o=root organization cn=customers,cn=area1,dc=local n/a
    o=seller organization,o=root organization n/a ou=people,o=companyname
  2. Exécutez manuellement la configuration du gestionnaire de membres virtuels (configuration de référentiel fédéré) dans la console d'administration de WebSphere Application Server :
    1. Démarrez HCL Commerce server1.
    2. Ouvrez la console d'administration WebSphere Application Server.
    3. Développez Sécurité et cliquez sur Sécurité globale.
    4. Dans la section Référentiel de comptes utilisateur, sélectionnez Référentiels fédérés dans le menu déroulant Définitions de domaines disponibles. Ensuite, cliquez sur Définir comme actif > Configurer.
    5. Cliquez sur Ajout de l'entrée de base au domaine...
    6. Cliquez sur Ajouter un référentiel... pour ajouter le référentiel LDAP 1 (Client) s'il n'existe pas.
    7. Complétez les zones suivantes :
      • Identificateur de référentiel
      • Type de répertoire
      • Nom d'hôte principal
      • Nom distinctif de liaison et mot de passe de liaison
      • Propriétés de connexion : uid ou cn, selon la manière dont les noms distinctifs d'utilisateur sont configurés sur le serveur LDAP. Par exemple, uid=xxx,o=root organization ou cn=xxx,o=root organization

      Pour plus d'informations, voir Configuring LDAP in a federated repository configuration.

    8. Cliquez sur OK. Les valeurs entrées sont validées et les valeurs par défaut sont spécifiées en fonction du type de répertoire.
    9. De retour sur la page Ajout de l'entrée de base au domaine, sélectionnez le référentiel ajouté, par exemple, ITDS6. Renseignez ensuite les deux zones de nom distinct avec l'organisation de niveau supérieur pour LDAP 1. Par exemple :

      Nom distinctif de l'entrée de base qui identifie cet ensemble d'entrées de manière unique dans le domaine : o=default organization,o=root organization

      Nom distinctif d'une entrée de base de ce référentiel : cn=customers,cn=area1,dc=local

    10. Cliquez sur OK lorsque vous avez terminé.
    11. Cliquez sur Ajouter un référentiel... pour ajouter le référentiel LDAP 2 (Admin), s'il n'existe pas.
    12. Complétez les zones suivantes :
      • Identificateur de référentiel
      • vérification
      • Type de répertoire
      • Nom d'hôte principal
      • Nom distinctif de liaison et mot de passe de liaison
      • Propriétés de connexion : uid ou cn, selon la manière dont les noms distinctifs d'utilisateur sont configurés sur le serveur LDAP. Par exemple, uid=xxx,o=root organization ou cn=xxx,o=root organization. Ces informations doivent être identiques à celles spécifiées pour LDAP 1.
      • Pour plus d'informations, voir Configuring LDAP in a federated repository configuration.
    13. Cliquez sur OK. Les valeurs entrées sont validées et les valeurs par défaut sont spécifiées en fonction du type de répertoire.
    14. De retour sur la page Ajout de l'entrée de base au domaine, sélectionnez le référentiel ajouté, par exemple, LDAP2. Renseignez ensuite les deux zones de nom distinct avec l'organisation de niveau supérieur pour LDAP 1. Par exemple :

      Nom distinctif de l'entrée de base qui identifie cet ensemble d'entrées de manière unique dans le domaine : o=seller organization,o=root organization

      Nom distinctif d'une entrée de base de ce référentiel : ou=people,o=companyname

    15. Cliquez sur OK lorsque vous avez terminé.
    16. Spécifiez les informations suivantes, puis cliquez sur OK :
      • Nom de domaine, par exemple myRealm.
      • Nom d'administrateur principal : Tout utilisateur figurant dans les référentiels du domaine utilisé pour la connexion à la console d'administration de WebSphere Application Server et l'exécution des tâches d'administration WAS. Il est recommandé d'utiliser un utilisateur provenant du référentiel de fichiers interne par défaut au lieu du serveur LDAP. Ainsi, même si le serveur LDAP est arrêté, l'administrateur peut tout de même se connecter à la console d'administration de WebSphere Application Server et exécuter les tâches d'administration WAS. Si l'utilisateur n'existe pas encore dans le référentiel de fichiers, il est créé maintenant.
      • Sélectionnez le bouton d'option Identité de serveur automatiquement générée. L'identité de serveur est utilisée pour la communication entre les composants WebSphere Application Server internes. Lorsqu'une identité de serveur automatiquement générée est utilisée, il n'est pas nécessaire de stocker un mot de passe supplémentaire dans WebSphere Application Server et HCL Commerce.
      • Cliquez sur Utilisation d'un référentiel intégré si le référentiel de fichiers interne ne fait pas encore partie du domaine.

    17. Désélectionnez la case Activer la sécurité administrative si la sécurité administrative n'est pas utilisée. Dans la plupart des cas, la sécurité d'application n'est pas requise non plus.Désélectionnez la case d'activation de la sécurité administrative

    18. Enregistrez les modifications.
  3. Pour Environnement de développement, vous devez également définir les paramètres de sécurité dans la configuration de serveur :
    1. Cochez la case La sécurité est activée sur ce serveur.
    2. Spécifiez l'ID utilisateur et le mot de passe de l'administrateur principal WebSphere Application Server.
    3. Cochez la case Faire automatiquement confiance au certificat du serveur lors de l'établissement des liaisons SS.
  4. Activez LDAP dans HCL Commerce :
    • Durée d'exécution: Connectez-vous au gestionnaire de configuration de HCL Commerce et remplacez la valeur DB du paramètre d'authentification par LDAP.
    • Kit d'outils : Modifier wc-server.xml comme suit :
      <MemberSubSystem AuthenticationMode="LDAP" ProfileDataStorage="LDAP">
  5. Activez la sécurité globale dans HCL Commerce :
    1. Modifiez le fichier wc-server.xml et spécifiez les attributs en gras :
      <Security AdminPwd="PoPLBJhv3M2PnNCZavkGgA==" AdminUser="uid=primUser,o=defaultWIMFileBasedRealm" AuthMode="" Realm="" RunAsID="" RunAsPwd="" enabled="false" enabledGlobal="true" passwordpolicy="true"/>
      où :
      • AdminUser : Administrateur principal de WebSphere Application Server précédemment sélectionné et pouvant se connecter à la console d'administration de WebSphere Application Server et exécuter les scripts wsadmin
      • AdminPwd : Chaîne chiffrée en ASCII générée à l'aide de <WC>\bin\wcs_encrypt avec le mot de passe d'identité de serveur (la clé de commerçant ne doit PAS être indiquée lorsque vous exécutez l'utilitaire wcs_encrypt)
      • enabledGlobal : Nécessaire lorsque la sécurité administrative de WebSphere Application Server est activée afin de pouvoir exécuter des tâches d'administration avec le profil d'administrateur
  6. Modifiez wc-server.xml afin de spécifier que l'organisation racine dans la base de données HCL Commerce ne doit pas être synchronisée avec LDAP, puisqu'elle figure au-dessus des entrées de base définies dans les référentiels fédérés WebSphere Application Server :
    1. Recherchez l'élément SyncOrganizationExclusionList
    2. Ajoutez des valeurs de nom distinctif d'organisation qui existent dans la base de données de HCL Commerce mais qui sont au-dessus des entrées de base.
    Par exemple, Root Organization : 
    <SyncOrganizationExclusionList display="false"> <Org DN="o=root organization"/> </SyncOrganizationExclusionList>
  7. Modifiez wc-server.xml pour spécifier les noms distinctifs LDAP des bases de recherche (entrées de base) à utiliser pendant la connexion, la connexion unique et l'opération UserRegistrationAdd. Ces noms distinctifs doivent figurer au-dessous de l'organisation racine :
    1. Recherchez l'élément MemberSubSystem.
    2. Ajoutez-y le sous-élément ci-dessous, en spécifiant les noms distinctifs LDAP des entrées de base. Ces noms distinctifs doivent figurer au-dessous de l'organisation racine LDAP :
      <SearchBases display="false"> <Org DN="o=default organization,o=root organization> <Org DN="o=seller organization,o=root organization"/> </SearchBases>
  8. Exécutez UpdateEAR pour propager les modifications du fichier wc-server.xml au fichier EAR.
  9. Redémarrez HCL Commerce Server.
  10. Essayez de vous connecter à la console d'administration de l'organisation en utilisant le nouvel administrateur de site qui figure au-dessous de l'organisation vendeuse. Cet utilisateur doit être capable de gérer toutes les organisations, y compris les utilisateurs qui sont des descendants des organisations d'entrée de base.

    Les clients doivent pouvoir s'enregistrer et se connecter à une vitrine de magasin de vente grand public.

  11. Activez SSL pour le serveur LDAP (nécessaire pour Active Directory).

Results

Vous avez maintenant optimisé HCL Commerce de manière à permettre l'accès à plusieurs registres LDAP avec des structures d'organisation disparates.