使用 Microsoft Active Directory 作为 LDAP 服务器

6.6.18.8：使用 Microsoft Active Directory 作为 LDAP 服务器

要使用 Miscrosoft Active Directory 作为 LDAP 服务器来认证 WebSphere Application Server，有几个特定步骤您必须完成。缺省情况下，Microsoft Active Directory 不允许匿名 LDAP 查询。要进行 LDAP 查询或浏览目录，LDAP 客户机必须使用一个帐户的专有名称（DN）绑定至 LDAP 服务器，该帐户属于 Windows 系统的“管理员”组。

要将 Microsoft Active Directory 设置为您的 LDAP 服务器，遵循下列过程：

1. 确定“管理员”组中的帐户的全 DN 和密码。例如，如果 Active Directory 管理员在 Active Directory“用户与计算机”Windows NT/2000 控制面板的“用户”文件夹中创建一个帐户，且 DNS 域为 ibm.com，则结果 DN 具有下列结构：
   cn=<adminUsername>, cn=users, dc=ibm, dc=com

2. 在 Microsoft Active Directory 中确定任何帐户的简短名称和密码。它不必与在先前步骤中所使用的帐户相同。

3. 使用 WebSphere Application Server 管理控制台来设置使用 Microsoft Active Directory 所需要的信息：

   1. 必要时启动该域的管理服务器。

   2. 必要时启动管理控制台。

   3. 在管理控制台上，单击控制台菜单栏中的控制台 -> 安全性中心。

   4. 选择认证选项卡页面。在其中，选择“轻量级第三方认证”（LTPA）作为认证机制。

   5. 在 LSAP 设置字段中输入下列信息：

      • 安全性服务器标识：在步骤 2 中所选择的帐户的简短名称

      • 安全性服务器密码：在步骤 2 中所选择的帐户的密码

      • 目录类型：Active Directory

      • 主机：运行 Microsoft Active Directory 的机器的 DNS 名称

      • 基本专有名称：在步骤 1 中所选择的帐户 DN 的域组件。例如：
        dc=ibm, dc=com

      • 绑定专有名称：在步骤 1 中所选择的帐户的全 DN。例如：
        cn=<adminUsername>, cn=users, dc=ibm, dc=com

      • 绑定密码：在步骤 1 中所选择的帐户的密码

   6. 单击确定保存更改。

   7. 停止并重新启动管理服务器，以使更改生效。