Federación de dos servidores LDAP sin una organización raíz común

Puede utilizar las características de integración de directorio de Virtual Member Manager (VMM) en WebSphere Application Server para realizar correlaciones entre diferentes jerarquías organizativas de LDAP.

Before you begin

Asegúrese de que antes de federar varios servidores LDAP (con raíz común o raíz diferente), compruebe que el prefijo RDN para los usuarios es el mismo, por ejemplo uid o cn, pero no una mezcla de ambos.

About this task

La correlación de estas estructuras de organización desarticuladas se especifica en el archivo de configuración VMM. Para correlacionar entre diferentes jerarquías organizativas en LDAP y la base de datos de HCL Commerce, debe establecer la correlación en Virtual Member Manager.

Procedure

  1. Antes de que HCL Commerce se configure con LDAP, asegúrese de que se cree un nuevo usuario admin bajo la organización vendedora de HCL Commerce (o=seller organization,o=root organization) que tiene el rol de administrador de sitio para la organización raíz (o=root organization). Este usuario es el nuevo administrador de sitio, puesto que el administrador de sitio (user -1000) está por encima de las dos entradas base nuevas que se van a crear. A continuación se muestra una configuración LDAP de ejemplo:

    HCL Commerce : DN de la organización (no cambiar) DN LDAP1 correspondiente (Compradores) DN LDAP2 correspondiente (Administradores)
    o=default organization,o=root organization cn=customers,cn=area1,dc=local no disponible
    o=seller organization,o=root organization no disponible ou=people,o=companyname
  2. Ejecute manualmente la configuración de VMM (configuración de repositorio federado) en la consola de administración de :
    1. Inicie HCL Commerce server1.
    2. Abra la Consola de administración de WebSphere Application Server.
    3. Expanda Seguridad y pulse Seguridad global.
    4. En la sección de repositorio de cuenta de usuario, seleccione Repositorios federados en el menú desplegable Definiciones de dominio disponibles. A continuación, pulse Establecer como actual > Configurar.
    5. Pulse Añadir entrada base a dominio...
    6. Pulse Añadir depósito... para añadir el depósito LDAP 1 (Comprador) si no existe.
    7. Complete los campos siguientes:
      • Identificador de repositorio
      • Tipo de directorio
      • Nombre de host primario
      • DN de enlace y contraseña de enlace
      • Propiedades de inicio de sesión: uid o cn, en función de cómo se configuren los DN de usuario en el servidor LDAP. Por ejemplo, uid=xxx,o=root organization o cn=xxx,o=root organization

      Para obtener más información, consulte Configuring LDAP in a federated repository configuration.

    8. Pulse Aceptar . Los valores que se entran se validan y los valores predeterminados se llenan basándose en el Tipo de directorio.
    9. De nuevo en la página Añadir entrada base a dominio, seleccione el depósito añadido, por ejemplo ITDS6. A continuación, complete los dos campos DN con la organización de nivel superior para LDAP 1. Por ejemplo:

      Nombre distinguido de una entrada base que identifica unívocamente este conjunto de entradas en el dominio: o=default organization,o=root organization

      Nombre distinguido de una entrada base en este depósito: cn=customers,cn=area1,dc=local

    10. Pulse Aceptar cuando termine.
    11. Pulse Añadir depósito... para añadir el depósito LDAP 2 (Admin) si no existe.
    12. Complete los campos siguientes:
      • Identificador de repositorio
      • check
      • Tipo de directorio
      • Nombre de host primario
      • DN de enlace y contraseña de enlace
      • Propiedades de inicio de sesión: uid o cn, en función de cómo se configuren los DN de usuario en el servidor LDAP. Por ejemplo, uid=xxx,o=root organization o cn=xxx,o=root organization. Esto debe ser igual que LDAP 1.
      • Para obtener más información, consulte Configuring LDAP in a federated repository configuration.
    13. Pulse Aceptar . Los valores que se entran se validan y los valores predeterminados se llenan basándose en el Tipo de directorio.
    14. De nuevo en la página Añadir entrada base a dominio, seleccione el repositorio añadido, por ejemplo LDAP2. A continuación, complete los dos campos DN con la organización de nivel superior para LDAP 1. Por ejemplo:

      Nombre distinguido de una entrada base que identifica unívocamente este conjunto de entradas en el dominio: o=seller organization,o=root organization

      Nombre distinguido de una entrada base en este repositorio: ou=people,o=companyname

    15. Pulse Aceptar cuando termine.
    16. Especifique lo siguiente y, a continuación, pulse Aceptar:
      • Nombre de dominio, por ejemplo myRealm.
      • Nombre de usuario administrativo primario: cualquier usuario existente de cualquiera de los repositorios del dominio que se utilizan para iniciar la sesión en la Consola de administración de y ejecutar tareas de wsadmin. Se recomienda utilizar un usuario del depósito de archivos interno predeterminado, en lugar del servidor LDAP. Como resultado, incluso aunque el servidor LDAP está inactivo, el administrador puede conectarse de todos modos a la Consola de administración de y ejecutar las tareas de wsadmin. Si el usuario aún no existe en el depósito de archivos, se crea ahora allí.
      • Seleccione el botón de selección Identidad de servidor generada automáticamente. La identidad de servidor se utiliza para la comunicación interna entre componentes de WebSphere Application Server. Mediante la utilización de una identidad de servidor generada automáticamente, no se tiene que almacenar una contraseña adicional en y HCL Commerce.
      • Pulse Use built-in repository (Utilizar depósito incorporado) si InternalFileRepository aún no forma parte del dominio.

    17. Quite la marca del recuadro de selección Habilitar seguridad administrativa si no se está utilizando. En la mayoría de los casos la seguridad de aplicación tampoco es necesaria.Borrar habilitar la seguridad de administración

    18. Guarde todos los cambios.
  3. Para Entorno de desarrollo, también debe establecer valores de seguridad en la configuración de servidor:
    1. Seleccione el recuadro de selección La seguridad está habilitada en este servidor
    2. Especifique el ID de usuario y la contraseña del administrador primario de
    3. Seleccione el recuadro de selección Confiar automáticamente en el certificado de servidor durante el reconocimiento SSL
  4. Habilite LDAP en HCL Commerce:
    • Tiempo de ejecución: Inicie la sesión en el gestor de configuración de HCL Commerce y modifique el valor de autenticación para utilizar LDAP en lugar de DB.
    • Kit de herramientas: Modifique wc-server.xml como se indica a continuación:
      <MemberSubSystem AuthenticationMode="LDAP" ProfileDataStorage="LDAP">
  5. Habilite la seguridad global en HCL Commerce:
    1. Modifique wc-server.xml y especifique los atributos en negrita:
      <Security AdminPwd="PoPLBJhv3M2PnNCZavkGgA==" AdminUser="uid=primUser,o=defaultWIMFileBasedRealm" AuthMode="" Realm="" RunAsID="" RunAsPwd="" enabled="false" enabledGlobal="true" passwordpolicy="true"/>
      Donde:
      • AdminUser: Usuario de administración primario de WebSphere Application Server seleccionado anteriormente que es capaz de iniciar la sesión en la consola de administración de WebSphere Application Server y ejecutar scripts de wsadmin
      • AdminPwd: serie ASCII cifrada que se genera utilizando <WC>\bin\wcs_encrypt con la contraseña de identidad de servidor (NO se debe especificar la clave de comerciante cuando se ejecuta el programa de utilidad wcs_encrypt)
      • enabledGlobal: Se necesita cuando la seguridad de administración de se habilita para poder realizar tareas de administración con AdminUser
  6. Modifique wc-server.xml para especificar que la Organización raíz de la base de datos de HCL Commerce no se debe sincronizar con LDAP, puesto que está por encima de las entradas base que se definen en los depósitos federados de WebSphere Application Server:
    1. Buscar el elemento SyncOrganizationExclusionList
    2. Añada los valores DN de la organización que existen en la base de datos de HCL Commerce, pero que están encima de las entradas base.
    Por ejemplo, Root Organization: 
    <SyncOrganizationExclusionList display="false"> <Org DN="o=root organization"/> </SyncOrganizationExclusionList>
  7. Modifique wc-server.xml para especificar los DN de LDAP de las bases de búsqueda (entradas base) que se deben utilizar durante Logon, SSO y UserRegistrationAdd. Estos DN deben estar bajo la organización raíz:
    1. Localice el elemento MemberSubSystem.
    2. Añada el subelemento siguiente, especificando los DN LDAP de entrada base. Estos DN deben estar bajo la organización raíz LDAP:
      <SearchBases display="false"> <Org DN="o=default organization,o=root organization> <Org DN="o=seller organization,o=root organization"/> </SearchBases>
  8. Ejecute UpdateEAR para propagar los cambios de wc-server.xml en el EAR.
  9. Reinicie el servidor HCL Commerce.
  10. Intente iniciar la sesión en la Consola de administración de organizaciones utilizando el nuevo administrador de sitio que está bajo la Organización vendedora. Este usuario debe poder gestionar todas las organizaciones, incluyendo los usuarios que son descendientes de las organizaciones de entrada base.

    Los compradores deben poder registrarse e iniciar la sesión en un escaparate B2C.

  11. Habilite SSL para el servidor LDAP (necesario para Active Directory).

Results

Ha utilizado HCL Commerce para acceder a varios registros LDAP con estructuras de organizaciones diferentes.