WebSphere и несколько доменов Windows

в 11:23, , рубрики: WebSphere, системное администрирование, метки: ,

У нас в конторе, есть бизнес-приложение работающее с WebSphere версии 7.1, пользователи в этом приложении авторизуются через Active Directory. Для этого в WebSphere мы использовали метод авторизации Отдельный реестр LDAP. В этом случае можно указать домен или ещё какой каталог LDAP для авторизации. С появление второго домена, потребовалось авторизовывать пользователей из обоих доменов. Для этих целей мы поменяем метод авторизации на Объединённые хранилища. И ниже опишу как это всё настроить.

Вообще в WebSphere можно использовать 4 варианта авторизации, они хорошо описаны с картинками тут.
Настраиваются методы авторизации здесь
image

Как уже писал, мы будем использовать вариант авторизации Объединённые хранилища для возможности авторизации из нескольких доменов. У нас это домены SDK_GARANT, поднятый на севере sdkserv, и SDK.LAN на сервера sdkpdc. Нам нужно по пользователю из каждого домена для авторизации WS. Никаких специальных прав этим пользователям не нужно. Важно чтобы их имена были разные и не повторялись в обоих доменах. В домене SDK_GARANT уже есть такой пользователь db2admin, я создал в SDK.LAN пользователя wasadmin.
image
image

Дальше работаем с консолью WS. В меню, показанном на первом скрине, нажимаем кнопку Настроить напротив Объединённых хранилищ. Вот что мы увидим:
image

Нажимаем Управление хранилищамиДобавить, заполняем как на рисунке. Отличительное имя привязки нужно указывать полностью cn=db2admin, ou=Main, dc=sdk_garant. Нажимаем ОК.
image

Опять нажимаем Добавить и добавляем хранилище для связи со вторым нашим доменом. Отличительное имя привязки cn=wasadmin, ou=Main, dc=sdk, dc=lan.
image

Всё сохраняем, возвращаемся к настройке Объединённых хранилищ. И нажимаем кнопку Добавить базовую запись в область.
image

Здесь выбираем хранилище SDK_GARANT указываем пользователя для связи cn=db2admin, ou=Main, dc=sdk_garant и отличительное имя базовой записи ou=Main, dc=sdk_garant, как путь к Organization Unit где в AD лежат пользователи.
image

Сохраняем и добавляем ещё одну базовую запись cn=wasadmin,ou=Main,dc=sdk,dc=lan и отличительное имя базовой записи ou=Main,dc=sdk,dc=lan
image

Удаляем хранилище по умолчанию
image

Вбиваем имя области, имя администратора (db2admin из одного домена или wasadmin из другого). Сохраняем.
Жмём ОК. Вверху страницы Сохранить. Из выпадающего списка выбираем Объединённые хранилища и жмём Задать в качестве текущего. Применяем.
Перестартовываем профиль и логинимся в кансоль под доменным пользователем. Если всё нормально и вы вошли в консоль, проверяем что зацепился список пользователей или групп и обоих доменов. Для этого заходим Пользователи и группыАдминистративные роли пользователейДобавить. Тут для удобства ставим число отображаемых результатов побольше и жмём Поиск. В списке должны быть пользователи из обоих доменов.

Если что-то пошло не так и в консоль не пускает. Нужно взять файлик *ProfileDir*/Config/cells/*NodeName*/wim/config/wimconfig.xml из рабочего профиля и заменить в поломаном. Тогда логин пароль сбросятся на дефолтный. Для тестирования не плохой вариант добавить сначала одно хранилище, перестртовать профиль и попробовать залогиниться. Потом это хранилище удалить и добавить другое, также проверив.

Автор: Acidmind

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js