У нас в конторе, есть бизнес-приложение работающее с WebSphere версии 7.1, пользователи в этом приложении авторизуются через Active Directory. Для этого в WebSphere мы использовали метод авторизации Отдельный реестр LDAP. В этом случае можно указать домен или ещё какой каталог LDAP для авторизации. С появление второго домена, потребовалось авторизовывать пользователей из обоих доменов. Для этих целей мы поменяем метод авторизации на Объединённые хранилища. И ниже опишу как это всё настроить.
Вообще в WebSphere можно использовать 4 варианта авторизации, они хорошо описаны с картинками тут.
Настраиваются методы авторизации здесь
Как уже писал, мы будем использовать вариант авторизации Объединённые хранилища для возможности авторизации из нескольких доменов. У нас это домены SDK_GARANT, поднятый на севере sdkserv, и SDK.LAN на сервера sdkpdc. Нам нужно по пользователю из каждого домена для авторизации WS. Никаких специальных прав этим пользователям не нужно. Важно чтобы их имена были разные и не повторялись в обоих доменах. В домене SDK_GARANT уже есть такой пользователь db2admin, я создал в SDK.LAN пользователя wasadmin.
Дальше работаем с консолью WS. В меню, показанном на первом скрине, нажимаем кнопку Настроить напротив Объединённых хранилищ. Вот что мы увидим:
Нажимаем Управление хранилищами – Добавить, заполняем как на рисунке. Отличительное имя привязки нужно указывать полностью cn=db2admin, ou=Main, dc=sdk_garant. Нажимаем ОК.
Опять нажимаем Добавить и добавляем хранилище для связи со вторым нашим доменом. Отличительное имя привязки cn=wasadmin, ou=Main, dc=sdk, dc=lan.
Всё сохраняем, возвращаемся к настройке Объединённых хранилищ. И нажимаем кнопку Добавить базовую запись в область.
Здесь выбираем хранилище SDK_GARANT указываем пользователя для связи cn=db2admin, ou=Main, dc=sdk_garant и отличительное имя базовой записи ou=Main, dc=sdk_garant, как путь к Organization Unit где в AD лежат пользователи.
Сохраняем и добавляем ещё одну базовую запись cn=wasadmin,ou=Main,dc=sdk,dc=lan и отличительное имя базовой записи ou=Main,dc=sdk,dc=lan
Удаляем хранилище по умолчанию
Вбиваем имя области, имя администратора (db2admin из одного домена или wasadmin из другого). Сохраняем.
Жмём ОК. Вверху страницы Сохранить. Из выпадающего списка выбираем Объединённые хранилища и жмём Задать в качестве текущего. Применяем.
Перестартовываем профиль и логинимся в кансоль под доменным пользователем. Если всё нормально и вы вошли в консоль, проверяем что зацепился список пользователей или групп и обоих доменов. Для этого заходим Пользователи и группы – Административные роли пользователей – Добавить. Тут для удобства ставим число отображаемых результатов побольше и жмём Поиск. В списке должны быть пользователи из обоих доменов.
Если что-то пошло не так и в консоль не пускает. Нужно взять файлик *ProfileDir*/Config/cells/*NodeName*/wim/config/wimconfig.xml из рабочего профиля и заменить в поломаном. Тогда логин пароль сбросятся на дефолтный. Для тестирования не плохой вариант добавить сначала одно хранилище, перестртовать профиль и попробовать залогиниться. Потом это хранилище удалить и добавить другое, также проверив.
Вообще в WebSphere можно использовать 4 варианта авторизации, они хорошо описаны с картинками тут.
Настраиваются методы авторизации здесь
Как уже писал, мы будем использовать вариант авторизации Объединённые хранилища для возможности авторизации из нескольких доменов. У нас это домены SDK_GARANT, поднятый на севере sdkserv, и SDK.LAN на сервера sdkpdc. Нам нужно по пользователю из каждого домена для авторизации WS. Никаких специальных прав этим пользователям не нужно. Важно чтобы их имена были разные и не повторялись в обоих доменах. В домене SDK_GARANT уже есть такой пользователь db2admin, я создал в SDK.LAN пользователя wasadmin.
Дальше работаем с консолью WS. В меню, показанном на первом скрине, нажимаем кнопку Настроить напротив Объединённых хранилищ. Вот что мы увидим:
Нажимаем Управление хранилищами – Добавить, заполняем как на рисунке. Отличительное имя привязки нужно указывать полностью cn=db2admin, ou=Main, dc=sdk_garant. Нажимаем ОК.
Опять нажимаем Добавить и добавляем хранилище для связи со вторым нашим доменом. Отличительное имя привязки cn=wasadmin, ou=Main, dc=sdk, dc=lan.
Всё сохраняем, возвращаемся к настройке Объединённых хранилищ. И нажимаем кнопку Добавить базовую запись в область.
Здесь выбираем хранилище SDK_GARANT указываем пользователя для связи cn=db2admin, ou=Main, dc=sdk_garant и отличительное имя базовой записи ou=Main, dc=sdk_garant, как путь к Organization Unit где в AD лежат пользователи.
Сохраняем и добавляем ещё одну базовую запись cn=wasadmin,ou=Main,dc=sdk,dc=lan и отличительное имя базовой записи ou=Main,dc=sdk,dc=lan
Удаляем хранилище по умолчанию
Вбиваем имя области, имя администратора (db2admin из одного домена или wasadmin из другого). Сохраняем.
Жмём ОК. Вверху страницы Сохранить. Из выпадающего списка выбираем Объединённые хранилища и жмём Задать в качестве текущего. Применяем.
Перестартовываем профиль и логинимся в кансоль под доменным пользователем. Если всё нормально и вы вошли в консоль, проверяем что зацепился список пользователей или групп и обоих доменов. Для этого заходим Пользователи и группы – Административные роли пользователей – Добавить. Тут для удобства ставим число отображаемых результатов побольше и жмём Поиск. В списке должны быть пользователи из обоих доменов.
Если что-то пошло не так и в консоль не пускает. Нужно взять файлик *ProfileDir*/Config/cells/*NodeName*/wim/config/wimconfig.xml из рабочего профиля и заменить в поломаном. Тогда логин пароль сбросятся на дефолтный. Для тестирования не плохой вариант добавить сначала одно хранилище, перестртовать профиль и попробовать залогиниться. Потом это хранилище удалить и добавить другое, также проверив.
