Activation de la sécurité fédérée

Vous pouvez utiliser l'assistant de configuration pour configurer HCL Portal afin qu'il utilise un serveur LDAP fédéré pour la sécurité. Utilisez les informations suivantes pour vous familiariser avec les informations que vous devez fournir dans l'assistant, et la procédure de configuration qu'il génère.

Assistant de configuration

Les principales options de l'assistant de configuration sont basées sur votre topologie de configuration cible, tel qu'un serveur autonome ou un cluster. L'option de sécurité fédérée est incluse dans les options Configurer un serveur autonome et Configurer un cluster. Pour la topologie de serveur autonome, exécutez l'option de sécurité fédérée après le transfert de la base de données. Pour la topologie de cluster, exécutez l'option de sécurité fédérée après avoir créé le cluster, mais avant d'ajouter d'autres nœuds.

Validation

Pour cette option de configuration, l'assistant peut se connecter à votre annuaire LDAP et valider les informations que vous entrez dans l'assistant. Par défaut, la validation est activée. Sur le panneau Paramètres de sécurité, vous pouvez choisir d'activer ou de désactiver la validation en sélectionnant Oui ou Non pour l'option Valider les entrées de registre d'utilisateurs LDAP. Sélectionnez Non si vous savez que vos paramètres sont corrects et que votre serveur LDAP n'est pas disponible au moment de la création de vos instructions.

Deux types de validation sont effectués lorsque vous choisissez de valider les paramètres incluant les validations de connexion LDAP et de syntaxe de zone. La validation de syntaxe, par exemple, vérifie que vous avez entré un numéro de port valide compris entre 1 et 65535. La validation de connexion, par exemple, vérifie qu'une connexion peut être établie avec votre serveur LDAP.

Il est recommandé d'activer la validation car vous écartez ainsi toute erreur possible en validant vos entrées dans l'assistant avant de lancer la configuration. Les paramètres LDAP, y compris ID de référentiel, Nom d'hôte, Port, Nom distinctif de liaison, Mot de passe de liaison, Nom distinctif de base, Nom distinctif du groupe administrateur, Nom distinctif d'administrateur et Mot de passe d'administrateur, sont validés avant que l'assistant ne crée les instructions d'exécution de la configuration. Examinez la section suivante pour identifier les zones obligatoires en fonction de vos sélections dans l'assistant.

Feuille de travail

Lorsque vous configurez la sécurité fédérée, vous répondez à des questions relatives à la configuration de votre choix. Certaines zones s'appliquent à toutes les configurations de sécurité fédérée. Certaines zones sont requises en fonction de votre environnement. Les autres zones sont avancées et ne s'appliquent pas à la plupart des configurations.

Zones obligatoires minimales

Le tableau suivant répertorie les zones qui sont uniques pour la configuration LDAP. Vous serez peut-être invité à saisir des informations supplémentaires sur le système ou les ID utilisateur et les mots de passe que vous avez définis lors du processus d'installation du portail.
Avertissement : The Enable Federated Security option modifies the wimconfig.xml file. Faites une copie de sauvegarde de ce fichier avant d'exécuter toute tâche de configuration.
wp_profile_root/config/cells/CellName/wim/config/wimconfig.xml
Tableau 1. Zones obligatoires minimales

Les zones de ce tableau sont obligatoires pour toutes les configurations LDAP fédérées.
Libellé de zone Propriété Votre valeur
ID de référentiel LDAP federated.ldap.id
Nom d'hôte LDAP federated.ldap.host
Port LDAP federated.ldap.port
Nom distinctif de liaison
Restriction : Les paramètres suivants doivent être uniques pour votre environnement :
  • PortalAdminId : ID utilisateur que vous entrez dans la zone ID administrateur pendant l'installation.
  • Nom distinctif de liaison
  • Nom distinctif d'administrateur provenant de LDAP
 federated.ldap.bindDN
Mot de passe de liaison federated.ldap.bindPassword
Tableau 2. Zones facultatives

Les zones suivantes sont facultatives pour les configurations LDAP fédérées.
Libellé de zone Propriété Votre valeur
Nom distinctif de base
Remarque : Cette zone est facultative. Toutefois, il est recommandé d'entrer un nom distinctif de base correspondant à vos paramètres LDAP. Si vous utilisez un LDAP Domino LDAP qu'aucun nom distinctif de base n'est défini, vous pouvez laisser cette zone vide.
 federated.ldap.baseDN

Utilisez un administrateur provenant de votre serveur LDAP.

Si vous choisissez d'utiliser un administrateur de votre serveur LDAP, vous devez fournir des informations supplémentaires sur le groupe et l'ID LDAP.

Tableau 3. Utilisez un administrateur et un groupe administrateur dans votre serveur LDAP.

Les zones du tableau suivant sont requises si vous choisissez d'utiliser un administrateur et un groupe administrateur qui est stocké dans votre LDAP.
Libellé de zone Propriété Votre valeur
Nom distinctif de groupe administrateur provenant de LDAP newAdminGroupId
Nom distinctif d'administrateur provenant de LDAP
Restriction : Les paramètres suivants doivent être uniques pour votre environnement :
  • PortalAdminId : ID utilisateur que vous entrez dans la zone ID administrateur pendant l'installation.
  • Nom distinctif de liaison
  • Nom distinctif d'administrateur provenant de LDAP
 newAdminId
Mot de passe d'administrateur provenant de LDAP newAdminPw
Parent par défaut du groupe

 groupParent
Parent par défaut de PersonAccount personAccountParent

Zones avancées

Cliquez sur Avancé dans la page Personnaliser les valeurs pour voir les propriétés avancées. Les valeurs par défaut sont fournies pour les zones avancées qui sont requises.

Tableau 4. Fichiers avancés

Certaines zones avancées sont obligatoires.

Libellé de zone Propriété Votre valeur
Classes d'objets de groupe LDAP federated.ldap.et.group.objectClass
Classes d'objets de groupe LDAP pour la création de groupes federated.ldap.et.group.objectClassForCreate
Bases de recherche de groupe LDAP federated.ldap.et.group.searchBases
Classes d'objets PersonAccount LDAP federated.ldap.et.personaccount.objectClasses
Classes d'objets PersonAccount LDAP pour la création d'utilisateurs federated.ldap.et.personaccount.objectClassesForCreate
Bases de recherche LDAP pour PersonAccount federated.ldap.gm.personaccount.searchBases
Membre de groupe fictif federated.ldap.gm.dummyMember
Attribut du membre de groupe federated.ldap.gm.groupMemberName
Classe d'objets de groupe federated.ldap.gm.objectClas
Portée de l'attribut de membre GM federated.ldap.gm.scope
Nom d'attribut d'appartenance federated.ldap.gc.name
Portée de l'attribut de membre GC federated.ldap.gc.scope
Filtre de certificats federated.ldap.certificateFilter
Mode de mappage de certificat federated.ldap.certificatMapMode
Attribut de nom distinctif relatif de groupe groupRdnProperties
Attribut de nom distinctif relatif PersonAccount personAccoutnRdnProperties
Configuration SSL du serveur d'applications federated.ldap.sslConfiguration

Support de groupe dynamique or imbriqué

Si vous avez besoin d'une prise en charge de groupe imbriqué, l'assistant fournit des valeurs par défaut pour certaines de ces zones. Mes valeur par défaut sont basées sur votre sélection de serveur LDAP. Vous devez cliquer sur Avancé pour voir les zones, si vous voulez vérifier les valeurs par défaut. Les zones de prise en charge des groupes dynamiques ou imbriqués sont notamment les suivantes : Attribut de membre de groupe, Nom d'attribut d'appartenance, Classes d'objets de groupe LDAP et Portée de l'attribut de membre GC.

Activation de la sécurité fédérée

Après que vous avez répondu à des questions et fourni des informations sur votre serveur LDAP, l'assistant génère une procédure de configuration personnalisée.

Pourquoi et quand exécuter cette tâche

En fonction de votre environnement, l'assistant génère un processus de configuration. Les étapes ci-dessous reflètent toutes les étapes possibles du processus de configuration. Ces étapes ne représentent pas une configuration littérale. Ces étapes sont fournies en tant que référence.

Si vous cliquez sur Afficher la commande de l'étape, vous pouvez voir la tâche et les propriétés associées à chaque étape de l'assistant.

Procédure

  1. Manual Step: extraire le certificat SSL du port SSL.
    Condition
    Sélectionnez cette option pour configurer LDAP activé pour SSL.
    Tâche ConfigEngine
    Aucun
    Remarque : Les étapes suivantes sont requises pour les environnements qui exploitent Java 1.8, comme les environnements HCL version 9.0. La procédure suivante sous-entend un environnement de cluster avec un gestionnaire de déploiement, cependant, elle fonctionne également dans un environnement autonome.
    1. Accédez au répertoire /AppServer/java/8.0/bin du gestionnaire de déploiement.

  2. Créez une copie de sauvegarde du profil HCL avant de modifier la sécurité de cellule.
    Remarque : La sauvegarde est créée dans /opt/IBM/WebSphere/AppServer/profiles/cw_profile/.
    Condition
    Aucun
    Tâche ConfigEngine
    Aucun
  3. Validez vos paramètres de serveur LDAP.
    Condition
    Aucun
    Tâche ConfigEngine
    validate-federated-ldap
  4. Ajoutez un registre d'utilisateurs LDAP au référentiel fédéré par défaut.
    Condition
    Aucun
    Tâche ConfigEngine
    wp-create-ldap
    recycle-dmgr-if-cluster
  5. Enregistrez les tâches de planificateur de WebSphere Application Server.
    Condition
    Aucun
    Tâche ConfigEngine
    stop-portal-server
    start-portal-server
    reregister-scheduler-tasks
  6. Remplacez les utilisateurs et les groupes HCL Portal et WebSphere Application Server basés sur un fichier par des utilisateurs et des groupes de votre serveur LDAP.
    Condition
    Sélectionnez d'utiliser un administrateur et un groupe administrateur qui est stocké dans votre LDAP.
    Tâche ConfigEngine
    wp-change-portal-admin-user
    wp-change-was-admin-user
  7. Mettez à jour le registre d'utilisateurs où les nouveaux utilisateurs et groupes sont stockés.
    Condition
    Aucun
    Tâche ConfigEngine
    wp-set-entitytypes
  8. Recyclez les serveurs après un changement de sécurité.
    Condition
    Aucun
    Tâche ConfigEngine
    recyle-servers-after-security-change
  9. Mettez à jour l'utilisateur d'administration de recherche.
    Condition
    Sélectionnez d'utiliser un administrateur et un groupe administrateur qui est stocké dans votre LDAP.
    Tâche ConfigEngine
    start-portal-server
    action-fixup-after-security-change-portal-wp.search.webscanner
  10. Après modification du modèle de sécurité, les serveurs doivent être redémarrés. Redémarrez le serveur Portal.
    Condition
    Aucun
    Tâche ConfigEngine
    recycle-servers-after-security-change
    start-portal-server
  11. Vérifiez que tous les attributs définis sont disponibles dans le registre d'utilisateurs du serveur LDAP configuré.
    Condition
    Aucun
    Tâche ConfigEngine
    wp-validate-federated-ldap-attribute-config
  12. Manual Step: mettre à jour le fichier MemberFixerModule.properties approprié avec les valeurs de vos utilisateurs LDAP.
    Condition
    Sélectionnez d'utiliser un administrateur et un groupe administrateur qui est stocké dans votre LDAP.
    Tâche ConfigEngine
    Aucun
  13. Exécutez l'outil correcteur de membres.
    Condition
    Sélectionnez d'utiliser un administrateur et un groupe administrateur qui est stocké dans votre LDAP.
    Tâche ConfigEngine
    run-wcm-admin-task-member-fixer
  14. Redémarrez le serveur HCL Portal.
    Condition
    Aucun
    Tâche ConfigEngine
    stop-portal-server
    start-portal-server
  15. Manual Step: mapper des attributs afin de garantir une communication correcte entre HCL Portal et le serveur LDAP.
    Condition
    Aucun
    Tâche ConfigEngine
    Aucun

Que faire ensuite

Si vous configurez un environnement de serveur autonome, vous pouvez désormais explorer votre site. Si vous souhaitez raccourcir l'URL de votre portail afin d'optimiser le moteur de recherche, renseignez l'option de configuration Modifier les URL de site à des fins d'optimisation pour les moteurs de recherche.

Si vous configurez un environnement en cluster et souhaitez raccourcir l'URL de votre portail afin d'optimiser le moteur de recherche, renseignez l'option de configuration Modifier les URL de site à des fins d'optimisation pour les moteurs de recherche. Vous pouvez également utiliser l'option Créer un nœud de cluster supplémentaire pour ajouter des nœuds à votre cluster. Les mises à jour de sécurité pour le nœud principal sont appliquées aux nœuds que vous ajoutez à votre cluster.