UME für die Verwendung eines LDAP-Verzeichnisses als Datenquelle konfigurieren

Verwendung

Sie verwenden diese Vorgehensweise, um die User Management Engine (UME) für die Verwendung eines LDAP-Verzeichnisses als Datenquelle zu konfigurieren.

Voraussetzungen

Weitere Informationen: LDAP-Verzeichnis als Datenquelle.
Bei dieser Vorgehensweise müssen Sie den SAP NetWeaver Application Server (AS) Java erneut starten. Planen Sie die erforderliche Ausfallzeit während des Neustarts des AS Java ein.

Vorgehensweise

Starten Sie die UME-Konfiguration.
Weitere Informationen: Benutzerverwaltung konfigurieren
Wählen Sie die Drucktaste Konfiguration ändern.
Wählen Sie auf der Registerkarte "Datenquelle" die Datenquelle aus, die am besten zu Ihrem LDAP-Verzeichnis passt.
Wählen Sie die Registerkarte "LDAP-Server" und geben Sie die erforderlichen Verbindungsdaten ein.
In der nachfolgenden Tabelle werden die Einstellungen für die Konfiguration der LDAP-Verzeichnisverbindung beschrieben.

Einstellungen für die Konfiguration eines LDAP-Verzeichnisses als Datenquelle

Einstellung	Beschreibung
Servername	Hostname des LDAP-Verzeichnisservers.
Serverport	Vom LDAP-Verzeichnis verwendeter Port.
Benutzer	Distinguished Name (DN) des Benutzers, der zum Herstellen der Verbindung zum LDAP-Verzeichnis verwendet wird. Dieser Benutzer verfügt über Lese-/Suchberechtigungen für alle Verzweigungen des LDAP-Verzeichnisses. Erfordert die UME Schreibzugriff, muss der Benutzer über Berechtigungen zum Anlegen und Ändern verfügen. `cn=Directory Manager`
Kennwort	Kennwort des oben genannten Benutzers, der zum Herstellen der Verbindung zum LDAP-Verzeichnisses verwendet wird. Wenn Sie das Kennwort eingeben, wird Ihre Eingabe durch die Konfiguration der Benutzerverwaltung auf dem Bildschirm ausgeblendet.
Benutzerpfad	Distinguished Name des Unterverzeichnisses, in dem Informationen über die Benutzer abgelegt sind. Wenn Sie über Gruppen in einer Baumhierarchie verfügen, müssen die Werte "Benutzerpfad" und "Gruppenpfad" übereinstimmen. Weitere Informationen: Benutzer und Gruppen im LDAP-Verzeichnis organisieren. `ou=CorporateUsers,c=us,o=mycompany`
Gruppenpfad	Distinguished Name des Unterverzeichnisses, in dem Informationen über die Gruppen abgelegt sind. `ou=CorporateGroups,c=us,o=mycompany`
SSL für LDAP-Zugriff verwenden	Dieses Ankreuzfeld bestimmt, ob die UME eine Secure-Sockets-Layer-(SSL)-Verbindung zum LDAP-Verzeichnis verwendet.
Eindeutiges Attribut als eindeutige Kennung der UME verwenden	Markieren Sie dieses Ankreuzfeld, um eine eindeutige Kennung statt eines Distinguished Name zur Identifikation des Benutzerkontos zu verwenden. Wenn Sie diesen Indikator setzen, wird ein in der Datenquellen-Konfigurationsdatei festgelegtes LDAP-Attribut als eindeutige ID verwendet und als Standardwert angezeigt. Dadurch können Sie Benutzer physisch in der Struktur Ihres LDAP-Verzeichnisses bewegen und sie dennoch weiterhin finden, da die Benutzerkennung auf der eindeutigen ID und nicht auf dem Distinguished Name basiert. Siehe auch SAP-Hinweis 777640.

Wählen Sie die Drucktaste Konfiguration validieren.
Schlägt der Test fehl, wird der entsprechende Eintrag aus dem Sicherheitsprotokoll in der Benutzerverwaltung angezeigt. Beim Auffinden der Fehlerursache können Ihnen zudem die Überwachungswerkzeuge Ihres LDAP-Verzeichnisses behilflich sein. Falls erforderlich, gehen Sie einen Schritt zurück, geben Sie die Verbindungsdaten erneut ein und testen Sie die Verbindung erneut, bis diese erfolgreich hergestellt werden kann.
Geben Sie den Rest der Daten nach Bedarf ein.
Die nachfolgende Tabelle beschreibt die Einstellungen für die LDAP-Verzeichnisverbindung für:
- LDAP-Verbindungspool
  Weitere Informationen: UME-Verbindungspool für LDAP-Verzeichnis.
- LDAP-Cache
  Die UME verwendet das LDAP-Cache zur Optimierung des Zugriffes auf den LDAP-Verzeichnisserver, z.B. durch das Caching vorheriger Suchergebnisse.
- Gesperrte Principals
- Verzeichnisserver-Zugriffsprotokoll

Weitere Verbindungeinstellungen für LDAP-Verzeichnisse

Einstellung	Beschreibung
Initiale Größe	Minimale Anzahl der Verbindungen im Verbindungspool. Ist dieser Wert auf `1` gesetzt, verfügt der Verbindungspool niemals über weniger als eine offene Verbindung.
Maximale Leerlaufgröße	Maximale Anzahl der Verbindungen im Leerlauf im Verbindungspool. Wenn die maximale Anzahl der Verbindungen im Leerlauf erreicht ist, schließt der Verbindungspool jede eingehende freigegebene Verbindung.
Maximale Größe	Maximale Anzahl der Verbindungen im Verbindungspool.
Maximale Leerlaufzeit	Maximale Zeit in Millisekunden für eine Verbindung im Leerlauf im Verbindungspool.
Verbindungs-Timeout	Geben Sie die Anzahl an Millisekunden zwischen Verbindungsanforderungen ein, die von der UME an den LDAP-Verzeichnisserver gesendet werden. Die UME versucht standardmäßig zwei Mal, die Verbindung herzustellen. Scheitert der zweite Versuch, unternimmt die UME einen der folgenden Schritte: Sie versucht, die Verbindung zu einem redundanten LDAP-Verzeichnis herzustellen (sollten Sie Hochverfügbarkeit konfiguriert haben, siehe unten). Sie liefert eine Fehlermeldung darüber, dass auf das LDAP-Verzeichnis nicht zugegriffen werden kann.
Überwachungsintervall	Geben Sie einen Wert größer 999 ein, um das Protokoll des Verzeichnisserver-Verbindungspools zu aktivieren. Der Überwachungsintervall ist ein Intervall in Millisekunden, in dem das System Informationen aufzeichnet. Jeder Wert unter 1000 deaktiviert die Protokollierung. Weitere Informationen: Protokoll für Verzeichnisserver-Verbindungspool.
Cache-Größe	Anzahl der gesicherten Cache-Einträge.
Cache-Lebensdauer	Gibt an, wie lang ein Sucheintrag im Cache verbleibt.
Eindeutige Namen gesperrter Benutzer	Geben Sie die eindeutigen Namen der Benutzer im LDAP-Verzeichnis ein, die die UME ignorieren soll. Ist im LDAP-Verzeichnis und in der AS-Java-Datenbank ein Benutzer mit demselben eindeutigen Namen vorhanden, können Sie über diese Einstellung verhindern, dass die UME diese Benutzer im LDAP-Verzeichnis findet.
Eindeutige Namen gesperrter Gruppen	Geben Sie die eindeutige Namen der Gruppen im LDAP-Verzeichnis ein, die die UME ignorieren soll. Die Datenbank des AS Java enthält eine Standardgruppe namens "Alle". Ist im LDAP-Verzeichnis eine Gruppe mit demselben Namen vorhanden, können Sie durch die Eingabe von `Alle` verhindern, dass die UME die Gruppe im LDAP-Verzeichnis findet.
LDAP-Zugriff aufzeichnen	Durch Markieren dieses Ankreuzfeldes können Sie das Verzeichnisdienst-Zugriffsprotokoll aktivieren. Dieses Protokoll zeichnet LDAP-Requests und die Antwortzeit auf. Weitere Informationen: Verzeichnisserver-Zugriffsprotokoll.

Sichern Sie Ihre Eingaben.
Starten Sie den AS Java neu.

Ergebnis

Die UME kann auf das LDAP-Verzeichnis zugreifen. Sie können weitere Konfigurationen an der LDAP-Verzeichniskonfiguration vornehmen, z.B.:

Hochverfügbarkeit der LDAP-Datenquelle konfigurieren
Attributzuordnung für die Datenquellen-Konfigurationsdatei konfigurieren
Weitere Informationen: UME-Datenquellen-Konfiguration anpassen.
SSL zwischen der UME und einem LDAP-Verzeichnis konfigurieren
Hinweis
SAP empfiehlt Ihnen nachdrücklich, SSL zwischen der UME und dem LDAP-Verzeichnis zu konfigurieren. Einige LDAP-Verzeichnisse wie Microsoft Active Directory Server erfordern eine SSL-Verbindung für das Anlegen von Benutzern im LDAP-Verzeichnis.