Show TOC

Beispiel: Konfiguration mehrerer LDAP-DatenquellenLocate this document in the navigation structure

Die Daten von Denise DeLassandros sind über mehrere Verzeichnisdienste (LDAP-Verzeichnisse) verteilt. Die Angestellten ihres Unternehmens sind in einem Verzeichnisdienst abgelegt, die Kunden und Lieferanten in einem anderen. Sie möchte die User Management Engine (UME) so konfigurieren, dass diese Lese- und Schreibzugriff auf Daten von mehr als einem Verzeichnisdienst hat. Denise konfiguriert die UME für die Suche nach Benutzerdaten in beiden Verzeichnissen.

Achtung

Diese Konfiguration darf das Anlegen von Benutzern oder anderen Principals auf zwei separaten Datenquellen nicht zulassen. Das heißt, das nur eine Datenquelle die ursprüngliche Datenquelle eines Benutzers oder anderen Principals sein kann.

Verwenden Sie die hier beschriebene Konfiguration nicht für die Konfiguration von Hochverfügbarkeit. Weitere Informationen über Hochverfügbarkeit finden Sie unter Hochverfügbarkeit der LDAP-Datenquelle konfigurieren.

Es gelten folgende Einschränkungen:

  • Die Anmelde-IDs von Benutzern müssen in allen Verzeichnisdiensten eindeutig sein.
  • Die Gruppen, denen ein Benutzer angehört, müssen sich im selben Verzeichnisdienst wie der Benutzer oder in der Datenbank des SAP NetWeaver Application Server (AS) Java befinden.

Denise muss für jeden Verzeichnisdienst einen separaten Datenquelleneintrag in der Datenquellen-Konfigurationsdatei anlegen.

Im privaten Bereich jeder Datenquelle definiert sie folgende Eigenschaften:

  • ume.ldap.access.server_type
  • ume.ldap.access.server_name
  • ume.ldap.access.server_port
  • ume.ldap.access.user
  • ume.ldap.access.password
  • ume.ldap.access.base_path.user
  • ume.ldap.access.base_path.grup

Damit Kennwörter in der Datenquellen-Konfigurationsdatei nicht als Klartext angezeigt werden, muss Denise eine Variable für die UME-Eigenschaft eingeben, die das Kennwort für den Zielverzeichnisdienst enthält. Die UME unterstützt bis zu fünf Verzeichnisdienste mit folgenden Eigenschaften:

  • ume.ldap.access.additional_password.1
  • ume.ldap.access.additional_password.2
  • ume.ldap.access.additional_password.3
  • ume.ldap.access.additional_password.4
  • ume.ldap.access.additional_password.5

Denise gibt die Kennwörter für die Verzeichnisdienste in den UME-Eigenschaften ein und der Datenquellen-Konfigurationsdatei fügt sie eine Referenz zur UME-Eigenschaft hinzu, die das Kennwort unter ume.ldap.access.password enthält.

Tipp

Denise gibt beispielsweise ein Kennwort für die zweite Verzeichnisdienstdatenquelle in der UME-Eigenschaft ume.ldap.access.additional_password.2 ein. In der Datenquellen-Konfigurationsdatei gibt sie im privaten Bereich dieser Verzeichnisdienstdatenquelle folgendermaßen eine Referenz zu der Eigenschaft ein:

<ume.ldap.access.password>    $ume.ldap.access.additional_password.2</ume.ldap.access.password>

Fügen Sie dem Namen der UME-Eigenschaft immer ein Dollarzeichen ($) als Präfix hinzu.

Beispiel
<dataSources>

     …     <dataSource id="CORP_LDAP2"
             className="com.sap.security.core.persistence.datasource.imp.LDAPPersistence"
             isReadonly="true"
             isPrimary="true">

         …         <privateSection>

             …              <ume.ldap.access.server_type>NOVELL</ume.ldap.access.server_type>
             <ume.ldap.access.server_name>p11111</ume.ldap.access.server_name>
             <ume.ldap.access.server_port>390</ume.ldap.access.server_port>
             <ume.ldap.access.ssl>false</ume.ldap.access.ssl>
             <ume.ldap.access.user>cn=admin,o=ume</ume.ldap.access.user>
             <ume.ldap.access.password>$ume.ldap.access.additional_password.1</ume.ldap.access.password>
             <ume.ldap.access.base_path.user>o=ume</ume.ldap.access.base_path.user>
             <ume.ldap.access.base_path.grup>o=ume</ume.ldap.access.base_path.grup>          
         </privateSection>
     </dataSource>

     <dataSource id="CORP_LDAP"
             className="com.sap.security.core.persistence.datasource.imp.LDAPPersistence"
             isReadonly="true"
             isPrimary="true">

         …         <privateSection>

             …              <ume.ldap.access.server_type>SUN</ume.ldap.access.server_type>
             <ume.ldap.access.server_name>p22222</ume.ldap.access.server_name>
             <ume.ldap.access.server_port>400</ume.ldap.access.server_port>




             <ume.ldap.access.ssl>false</ume.ldap.access.ssl>             <ume.ldap.access.user>cn=Directory Manager</ume.ldap.access.user>             <ume.ldap.access.password>$ume.ldap.access.additional_password.2</ume.ldap.access.password>             <ume.ldap.access.base_path.user>dc=ume.wdf.sap.corp</ume.ldap.access.base_path.user>             <ume.ldap.access.base_path.grup>dc=ume.wdf.sap.corp</ume.ldap.access.base_path.grup>



                              </privateSection>     </dataSource> </dataSources>