JKHL Enterprises(下文简称 JKHLE)是一家虚构的公司,希望使用自己的外部 LDAP 用户注册表配置对 IBM® ">WebSphere® Service Registry and Repository(下文简称 WSRR)的访问。JKHLE 使用了 WebSphere Application Server 连锁存储库选项并启用了安全性。它还使用了 WSRR Governance Enablement Profile(下文简称 GEP)。这个项目的 6 个 JKHLE 目标已在下面列出,它们的解决方案将在下面 1-6 节中介绍:
在 LDAP 中识别和定义将有权访问 WSRR 的组。 阻止 WSRR 用户管理 WebSphere Application Server。 使用户能够访问 WSRR,即使 LDAP 不可用。 将 WSRR Web UI 访问权限制到 WSRR 组。 将 Business Space 访问权限制到 WSRR 组,只让具有 Business Space 超级用户角色的用户能够在 WSRR 中创建空间和更新 Business Space 小部件。 JKHLE 使用 EJB API 开发了一个 WSRR 客户端,并需要阻止可运行此 WSRR 客户
端的用户登录到 Business Space 和 WSRR Web UI。
JKHLE 运行时环境
独立配置中的 WSRR V8.0,使用 DB2 V9.7 Enterprise Server Edition with Fix Pack 4 WebSphere Application Server V8.0 with Fix Pack 3 IBM Tivoli
Directory Server LDAP
尽管 JKHLE 使用的是 WSRR V8.0,但本文中的步骤同时适用于 WSRR V7.5 和 V8.0。
1. 在 LDAP 中识别和定义将有权访问 WSRR 的组
使用 LDAP 管理安全性的最佳方式是使用组。例如,一种授予 WSRR 管理性访问权的不错方式是,从外部 LDAP 用户注册表将预定义的用户组添加到 WSRR 中。然后当需要更改时,LDAP 管理员可简单地在其 LDAP 中存在的组中添加或删除用户。此过程可确保在 LDAP 内执行的安全维护不需要 WSRR 或 WebSphere Application Server 中的任何额外工作。
因此,第一步是从上面列出的 JKHLE 需求识别要用于 WSRR 的 LDAP 组。JKHLE 使用的是 GEP,在 WSRR,一个活动 GEP 定义了 6 个角色:
Business Development Operations SOAGovernance WSRRUser WSRRAdmin
WSRR Business Space 定义了一个具有管理特权的超级用户角色。有关更多信息,请参阅 WSRR 信息中心中的 分配 Business Space 超级用户角色。JKHLE 希望将 Business Space 超级用户角色限制为少数选定的用户,这可定义一个名为 WSRRBusinessSpaceSuperUsers 的 LDAP 组来实现。
JKHLE 还希望限制那些能够运行它使用 EJB API 创建的 WSRR 客户端的用户登录到 Business Space 和 WSRR Web UI。与此活动关联的角色称为 WSRRBatchUser。与此角色对应的 WSRR 组将在 LDAP 中定义。
上面确定的角色关系到 WSRR 中的具体活动。因此,每个角色在 LDAP 中应定义一个相应的组,而且这些 LDAP 组将分配给 WSRR 中一个合适的角色,以与他们将执行的活动协调一致。表 1 给出了 JKHLE 在 LDAP 中定义的 WSRR 组:
表 1. 要在 LDAP 中定义的 WSRR 组 WSRR 角色 LDAP 中的 WSRR 组 BusinessSpaceSuperUser WSRRBusinessSpaceSuperUsers Business WSRRBusinessUsers Development WSRRDevelopmentUsers Operations WSRROperationsUsers SOAGovernance WSRRSOAGovernanceUsers WSRRAdmin WSRRAdminUsers WSRRBatchUser WSRRBatchUsers WSRRUser WSRRUsers
在第一节末,JKHLE 确定并定义了 LDAP 中的 WSRR 组。