您可以使用 IBM® Security Directory Server 提供用於認證的可信身份數據基礎結構。
IBM Security Directory Server 提供一個使用 DB2® 數據庫存儲目錄信息的服務器。它還提供一個代理服務器,用於將 LDAP 操作路由到帶數據庫的目錄服務器。IBM Security Directory Server 提供“實例管理工具”(idsxinst) 和“配置工具”(idsxcfg) 等客戶機實用程序和圖形用戶界面 (GUI) 來管理服務器。
IBM Security Directory Server 提供下列功能部件:
- 強大而權威的企業目錄基礎結構,它是企業安全性的關鍵促成因素。
- IBM Security Integrated Identity Management 產品服務組合的重要組成部分。它在身份管理、門戶網站和 Web 服務等應用程序的企業身份數據基礎結構構建中扮演重要角色。
- WebSphere® Application Server 和 Portal,IBM Security Identity Manager 和 Access Manager,以及 AIX® 操作系統的缺省目錄。
通俗的講,國產軟件的用戶管理數據庫多數是自己搞一個,而西方的多數採用LDAP服務器。兩者之間的區別這裡不多說,大家自行對比。
一、測試環境準備
操作系統Windows Sever 2008R2。必須用純淨版,最好是手動一步步安裝的操作系統,確保操作系統是純淨安裝沒有任何修改,否則會有很多問題。
準備計算機基本信息,下面修改服務器名稱是個人習慣,大家可參考
確定之後,會要求重啟服務器。重啟之後,查看計算機名稱,如下圖
二、安裝WAS
因為後續要使用WAS環境運行TDS的WEB服務,這裡提前安裝
先安裝IBM的應用程序安裝工具IBM Installation Manger
下面開始安裝WAS ND 8.5
創建WEB服務插件,在開始程序裡面找到
在服務裡面啟動下圖紅色標記的服務,其中的IBM HTTP Server重啟
重啟WAS:停止服務器,啟動服務器
三、開始安裝IBM Security Directory Server
安裝完成之後啟動實例管理工具創建實例
增加自己需要的後綴,點“管理”
確定之後,需要重新啟動服務器
下圖1停止重啟,啟動2
下圖輸入用戶標識superadmin和密碼secret
在下圖添加服務器
建議修改默認密碼,然後註銷,重新登錄
重新登錄
我們先添加自己的domino
下圖可以看到新增加的domino
下面我們在dc=jiyuan,dc=net這個domino添加下container
下圖輸入cn=users,以及在dc中輸入users,接著選擇父代DN,點“瀏覽”
下圖根據需要決定是否繼續添加container,我們這裡選擇否
點圖中加號就可以看到新創建的container
在上圖的“添加”可以開始添加用戶了,選擇對象類為inetOrgPerson
下圖輸入相關內容,父代DN選擇:cn=users,dc=ijiyuan,dc=net,之所以這樣做,是因為我們還可以新建一個guaqi的container,方便將來把一些停止使用的用戶給移到guaqi這個dn下面。在使用的時候不一定要刪除用戶。當然,也可以按部門創建需要的container,例如可以創建cn=cwb、cn=ywb、cn=yfb等不同的container,然後把人員放到部門的container中。至於如何使用,關於在於使用者。
下圖可選屬性非常多,根據自己的需要添加,如果不夠還可以自定義人員屬性
下圖輸入uid,正常情況下用uid做為帳戶,也有用cn、sn做為帳戶的,同樣也可以用email作為帳戶,關鍵在於你如何定義規則。使用哪個做為登錄帳戶,就要確保這個值是唯一的。其中顯示多值的表示可以有多個值。
成功之後就可以看到如下人員信息
我們可以下圖設定密碼策略,可以創建新的為某些人單獨使用密碼策略,也可以讓所有人使用同一個密碼策略。
下圖簡單看個例子
還有下面的密碼策略
下面可以選擇要使用的加密、算法
密碼加密
如果屬性不夠用,可以下圖管理、添加,例如我們可以給人員添加省、市、縣、鎮等屬性,方便人員管理
下面看看如何在WAS中使用LDAP用戶,登錄WAS控制檯,“配置”
下圖對應選擇及設置,其中用戶登錄的屬性,這裡設置的是允許用戶使用uid、cn、sn登錄
應用、保存之後會回到下面的界面,我這裡設置的dn是cn=users,dc=ijiyuan,dc=net,這就意味著只有下面的用戶可以登錄。
下圖可以看到新增加的存儲庫,記得把2打對號,應用、保存、確定。
這個時候可以看看用戶裡面的帳戶信息,因為需要重啟生效,所以這裡只有一個系統默認的。下面重啟WAS。
在這裡我們就可以看到一個企業級的用戶管理機制,和可擴展的能力。如果程序員自己寫一套用戶數據庫也沒有問題,但沒有使用已經做好的LDAP方便,無論是靈活性、密碼策略、擴展性都是非常強大的。程序員這個時候只需要按標準方法連接LDAP調用已有的功能完成用戶創建、編輯、刪除、認證等操作,可以節省程序員大量的工作,提高軟件開發效率。下圖是重啟之後就可以看到的用戶信息。
在WAS裡面可以配置LTPA和單點登錄
應用程序的數據庫連接可以在下面配置和管理
下圖可以配置數據庫的連接池屬性
數據庫的連接在這裡
下圖可以設置數據庫密碼
在這裡我們就可以發現WAS下面程序只需要通過WAS的JDBC調用數據庫資源就可以了,數據庫帳戶和密碼程序員可以不用知道。WAS管理員也可以後續修改數據庫密碼,以此實現系統管理和軟件開發的分享。可以在下圖管理應用程序,包括安裝、更新、刪除等操作
服務器內存管理可以在下面完成
閱讀更多 深海淡水 的文章