为 TM1 9.5 配置 LDAP 身份验证 -2

look_w

配置步骤尽管 TM1 9.5 Operations Guide 讨论了配置 LDAP 身份验证的最基本概念和任务，但是没有提到一些重要或有意思的配置选项。如果没有正确地实现，必需的其他一些步骤可能会造成问题。
本节详细说明为 TM1 9.5 配置 LDAP 身份验证的步骤。已经对不同的 LDAP 服务器测试过这个配置过程。它是可靠实践。
检查 LDAP 服务器信息在安装 TM1 9.5 之前，第一步是确认掌握了所有必需的 LDAP 服务器信息，确认能够通过 LDAPS 连接 LDAP 服务器。

• 必需的第一个信息是 LDAP 服务器的类型。这可以是符合 LDAP v3 的任何 LDAP 服务器，比如 Tivoli Directory Service (TDS)、OpenLDAP、SunONE LDAP 甚至包括 Microsoft Active Directory (AD)。大体上说，AD 实际上是 Windows 内置的 LDAP，Microsoft 对它做了很多扩展，所以可以使用它为 TM1 9.5 提供 LDAP 身份验证。LDAP 的类型决定 TM1 登录名可以使用的用户条目属性，对于 Active Directory，它还决定 TM1 服务器如何向 LDAP 服务器验证身份。对于 AD，有一个特殊的单点登录特性，稍后讨论此特性。
• 第二，需要 LDAP 的连接信息。这包括：
  • 主机 IP、Netbios 名称或完全限定的 DNS 名称。
    提示：对于 AD，也可以使用域名，这是最佳实践，因为这允许使用 Windows DC Locator 特性（AD 故障转移支持）。
  • 端口。LDAPS 在默认情况下使用端口 636。
  • Base Distinguished Name (BaseDN)，比如 o=Business Analytics,dc=ibm.com。
• 第三个、也是最重要的信息是，LDAP 服务器是使用自签署的证书，还是某个 CA 签署的证书。
  对于自签署证书，需要服务器证书。
  对于 CA 签署的证书，需要签署服务器证书的 CA 的 CA 证书。
  获取采用 Privacy Enhanced Mail (PEM) 格式（Base64 编码的 ASCII）的这些证书。
• 必需的最后一个信息是 Binding Credentials (BC)，它实际上是一个 LDAP 账号，可以用它绑定和搜索目录。这个 BC 至少需要对应该导入 TM1 的所有用户条目有浏览和读访问权。
  对于 Active Directory，BC 可以是某个域用户账号，记住这个账号。

获取所有这些信息之后，最好确认任意 LDAP 客户机可以通过 SSL 连接 LDAP 服务器。使用您选择的 LDAP 浏览器，使用收集的主机、端口、BaseDN 和 BC 连接 LDAP。如果连接成功，就继续配置；如果不成功，就尝试解决连接问题。如果 LDAP 客户机无法连接 LDAP，TM1 也无法连接。
一种不错的测试方法是使用 Microsoft 的 Windows Server Tool 包（Win2008 服务器在默认情况下包含这个包）中的 “LDP” 实用程序。提供 SSL 支持的其他 LDAP 客户机包括 Apache Directory Studio（开放源码）和 Softerra LDAP 浏览器（商业）。
甚至可以使用 “s_client -connect host:port -ca < cert>” 命令通过 OpenSSL 工具包执行测试。
安装 TM1 9.5，选择 LDAP 身份验证如果还没有安装 TM1 9.5，就运行安装向导。确保选中 LDAP Authentication 复选框。
图 3. TM1 安装向导 — 选中 LDAP Authentication 选项提供在前一步中收集的 LDAP 相关信息。LDAP search field 的实际值取决于 LDAP 的类型。如果不确定，以后可以修改它。这会在服务器的 tm1s.cfg 文件中创建所需的条目。
如果已经安装了 TM1，那么在 tm1s.cfg 中已经有一些用于当前配置的身份验证模式的设置。在这种情况下，必须手工添加用于 LDAP 的设置。请记住，根据当前的身份验证模式，ETLDAP 可能需要额外的配置设置才能够连接 TM1 服务器。
运行 ETLDAP 工具正如 2.1 节中提到的，要想让 TM1 使用 LDAP 身份验证，必需的步骤之一是通过运行 ETLDAP 实用程序在 TM1 数据库中创建用户和组。ETLDAP 连接 LDAP 和 TM1，把从 LDAP 提取出的数据写到 TM1 数据库中。它是用 Java 编写的，因此使用 Java API 处理密码学功能。ETLDAP 并不像 TM1 服务器那样使用 Windows 信任存储，而是使用 Java 信任存储。因此，建立 ETLDAP 对 LDAP 服务器证书的信任需要一个额外步骤。
另外，完成成功的导入需要几个设置。
正如 Operations Guide 的第 10 章 “Configuring LDAP validation” 中指出的，在开始使用 ETLDAP 之前，要确认在服务器的 tm1s.cfg 文件中密码源属性设置为 TM1 (PasswordSource=TM1)。还不能切换到 LDAP，因为还没有把用户导入 TM1，而 ETLDAP 必须能够连接 TM1 才能够导入用户和组。
让 ETLDAP 信任 LDAP 服务器的证书
通过名为 Java Runtime Environment (JRE) 的 Microsoft Windows 命令文件调用 ETLDAP，并显式地传递信任存储（包含应该信任的证书的文件）的名称和位置。在默认情况下，引用的信任存储是用于内部 SSL 的信任存储，所以传递给 JRE 的两个参数应该像下面这样：

1 2	-Djavax.net.ssl.trustStore="%APPLIXPath%bin\ssl\tm1store" -Djavax.net.ssl.trustStorePassword=applix

信任存储是 <TM1_ROOT>/bin/ssl/tm1store，它的密码是 “applix”。
尽管可以在 <TM1_ROOT>/bin/etldap.cmd 中修改这两个参数以使用另一个信任存储，但是最简单的方法是把建立 ETLDAP 信任需要的证书添加到用于内部 SSL 的信任存储中。这对于内部 SSL 没有不利影响，也不会造成安全问题，因此下面介绍这种方法。如果非要让 ETLDAP 使用另一个信任存储，那么要调整这个批处理文件，而且不要忘了在这个信任存储中添加 Applix CA 证书，没有这个证书，ETLDAP 就无法连接 TM1。
为了建立信任，必须把签署 LDAP 服务器证书的 CA 证书或服务器证书本身（对于自签署证书）导入 tm1store 中。导入方法是在 <TM1_ROOT>\axajre\jre\bin 文件夹中执行以下命令（在 Operations Guide 中有一个错误的路径，已经报告了这个问题，以后会得到纠正）：

1 2	keytool -import -keystore <TM1_ROOT>\bin\ssl\tm1store" -storepass applix -alias LDAPTrust -file <your_cert>

这个工具会显示证书并询问是否应该导入它。按 “y” 并按回车。这样就添加了证书，ETLDAP 会信任用导入的证书签署的所有证书。
因此，现在已经为 ETLDAP 工具建立了对 LDAP 服务器证书的信任。