本 OBE 教程将向您介绍如何启用第三方目录服务器(如 Sun 目录服务器)作为 Oracle WebLogic Server 的认证源。
大约 1 个小时
本 OBE 教程包括下列主题:
将鼠标置于此图标上以加载和查看本教程的所有屏幕截图。(警告:此操作会同时加载所有屏幕截图,网速较慢时,响应时间可能会比较长。)
注:此外,您还可以在下列步骤中将鼠标放在每个单独的图标上,从而仅加载和查看与该步骤相关的屏幕截图。
这些屏幕截图不能反映用户的具体环境。只是说明如何在 Oracle WebLogic Server 中找到特定功能。
默认情况下,用户、组和角色都存储在管理服务器上托管的 Oracle WebLogic Server 的嵌入式轻型目录访问协议 (LDAP) 存储中。使用嵌入式 LDAP 在内部处理认证。在本 OBE 中,您将学习如何将用户和组从嵌入式 LDAP 移到 Sun 目录服务器中,然后使用新的 Sun 认证提供程序而不是默认的认证提供程序来认证用户。然而,角色和策略仍然在嵌入式 LDAP 服务器中维护。
Dizzyworld 系统架构师希望将标准的 LDAP 公司目录服务器与 Oracle WebLogic Server 集成。
在启动任务前,确保您的系统环境满足以下要求:
软件要求
系统已安装了 Oracle WebLogic Server 10.3。您还必须使用默认选项安装和配置 Sun Directory Server 6.2。要安装和配置 Sun DS 6.2,执行以下基本步骤:
从 http://www.sun.com/download/index.jsp 下载 java_es-5u1-ga-linux-x86.zip。
解压缩该文件并以 root 用户身份运行安装程序 (./installer)。
选择软件组件 Application Server Enterprise Edition 8.2 Patch 2 和 Directory Server Enterprise Edition 6.2,并选择 Configure Components 作为安装选项的一部分。
选择 Create Directory Instance 选项。
为安装向导的域指定下列值:
Directory Preparation tool — /opt/sun/comms/dssetup
Directory Server — /opt/sun
Application Server — /opt/sun/appserver
Application Server Data and Configuration — /var/opt/sun/appserver
Administrator user ID — admin
Administrator password — welcome1
System user — root
System group — root
Admin username — admin
Admin password — welcome1
Master password — welcome1
Instance Directory — /var/opt/sun/dsins1
Directory Instance Port — 389
Directory Instance SSL Port — 636
Directory Manager DN — cn=Directory Manager
Directory Manager Password — welcome1
Suffix — dc=us,dc=oracle,dc=com
启动 domain1:导航至 /opt/sun /appserver/bin 并执行 ./asadmin start-domain --user admin domain1。
导航至 https://<主机名>:4849 — 使用 admin/welcome1 登录。
导航至 /opt/sun/dscc6/bin 并执行 ./dsccsetup initialize。
导航至 /opt/sun/cacao/bin 并执行 ./cacaoadm start。
导航至 /opt/sun/webconsole/bin 并执行 ./smcwebserver start。
导航至 /opt/sun/ds6/bin 并执行 ./dsadm start /var/opt/sun/dscc6/dcc/ads。
导航至 https://<主机名>:6789/console 并使用 root/<root 口令> 登录。
单击 DSCC 链接,输入 admin/welcome1 作为 Directory Server Manager 的用户名和口令。单击 Login。
依次单击 Manage Registered Directory Servers 和 New Server,然后指定以下值:
LDAP port — 389
LDAP Secure port — 636
Instance path — /var/opt/sun/dsins1
Directory Manager DN — cn=Directory Manager
Directory Manager password — welcome1
Runtime user ID — root
Runtime user password — <root 用户口令>
DSCC Agent port — 11162
使用下拉菜单选项 — 用上一步中指定值注册现有目录服务器。
您还必须使用默认选项安装和配置 LDAP Browser。要安装 LDAP Browser,执行以下基本步骤:
从 http://www.mcs.anl.gov/~gawor/ldap/download.html 下载 LDAP Browser v2.8.2 beta 2 (browser282b2.zip)。
正确设置 PATH 环境变量(包括 JDK/bin)。
解压缩文件并运行 ./lbe.sh。
设置要求
您应该已经完成了以下 OBE:
要从 Administration Console 查看用户、组和角色,执行以下步骤:
|
1. |
登录到 Administration Console。
|
|
2. |
单击 Security Realms,然后单击 myrealm。
|
| 3. |
在 Settings for myrealm 下,单击 Users and Groups 选项卡。通过单击 Users 和 Groups 子选项卡,您将看到默认的用户和组。
|
| 4. |
单击 Roles and Policies 选项卡。展开 Global Roles > Roles。您会看到所有的默认角色。
|
要修改嵌入式 LDAP 服务器的凭证,执行以下步骤:
1. |
单击左侧面板中 Domain Structure 下的 dizzyworld。在右侧面板中 Settings for dizzyworld 下,单击 Security 选项卡,然后单击 Embedded LDAP 选项卡。
|
2. |
单击左侧面板中 Change Center 下的 Lock & Edit 按钮。
|
| 3. | 将 Credential 域的值更改为 welcome1。在 Confirm Credential 域中输入相同的值。单击 Save 按钮。单击左侧面板中 Change Center 下的 Activate Changes。所有更改都激活后,您需要重新启动管理服务器。要重新启动管理服务器,单击左侧面板中 Change Center 下的 View changes and restarts。单击 Restart Checklist 选项卡,选择 AdminServer(admin),然后单击 Stop。使用 startWebLogic.sh 脚本启动管理服务器。
|
要配置 LDAP Browser 以连接 Sun 目录服务器和嵌入式 LDAP 服务器,执行以下步骤:
|
1. |
启动 LDAP Browser(确保 PATH 环境变量包含 JDK/bin 的位置)。
|
|
2. |
通过单击 New 按钮,创建一个 New Session。在 Name 选项卡中,指定 WLS Embedded LDAP。在 Connection 选项卡中,指定以下值。单击 Save。
|
| 3. |
通过单击 New 按钮,创建一个 New Session。在 Name 选项卡中指定 SunDS,在 Connection 选项卡中指定以下值。单击 Save。
|
| 4. |
通过在 Session List 中选择 WLS Embedded LDAP 条目并单击 Connect,连接到嵌入式 LDAP 服务器。现在,您可以查看存储在嵌入式 LDAP 服务器中的用户、组和角色。
|
使用 LDAP Browser 从 Oracle WebLogic Server 嵌入式 LDAP 存储中导出用户和组。修改后缀 (DN),然后将用户和组导入 Sun 目录服务器中。为此,执行以下步骤:
1. |
单击 LDAP Browser 中的 ou=groups 节点,然后从菜单中选择 LDIF > Export。选择 All children,将导出位置指定为 /home/oracle/groups.ldif。单击 Export 按钮。消息窗口上会显示 8 项已导出,单击 OK。
|
2. |
单击 LDAP Browser 中的 ou=people 节点,然后从菜单中选择 LDIF > Export。选择 All children,将导出位置指定为 /home/oracle/people.ldif。单击 Export 按钮。消息窗口上会显示 2 项已导出,单击 OK。
|
| 3. | 使用 gedit (或 vi)编辑 groups.ldif 和 people.ldif。执行 Search and Replace。将 ou=myrealm, dc=dizzyworld 和 ou=myrealm, dc=dizzyworld 替换为 dc=us,dc=oracle,dc=com(groups.ldif 文件中出现 22 次,people.ldif 文件中出现 3 次)。保存文件 groups.ldif 和 people.ldif。
|
| 4. | 以 root/<root 口令> 登录到 Sun Java Web Console(在此演示中,root 口令为 oracle)。单击 Directory Services Control Center (DSCC)。使用 admin/welcome1 作为 Directory Service Manager/Password 登录。单击 Manage Registered Directory Servers。单击名为 <主机名>:389 的目录服务器(此演示中为 edrsr39p1:389)。单击 Schema 选项卡。单击 Attributes 子选项卡。
|
| 5. | 创建一个用户定义的新属性。在 Attributes 选项卡中,单击 User-Defined Attributes 下的 Add 按钮。使用以下值创建一个新属性 (wlsMemberOf):
|
| 6. | 创建一个用户定义的新对象类。单击 Object Classes 选项卡,然后单击 User-Defined Object Classes 下的 Add 按钮。使用以下值创建一个新对象类 (wlsUser)。将用户定义的属性 (wlsMemberOf) 添加到用户定义的对象类 (wlsUser)。
|
| 7. | 使用 LDAP Browser 连接到 Sun 目录服务器,方法是在 Session List 中选择 Sun DS 项并单击 Connect 按钮。单击 dc=us, dc= oracle, dc=com 节点,使用 LDIF > Import 导入 groups.ldif 文件和 people.ldif 文件。登录到 Sun Java Console,查看使用 LDAP Browser 导入的用户和组。
|
| 8. | 编辑 Administrators 组,将 uid=admin, ou=people, dc=us, dc=oracle, dc=com 添加到 uniqueMember 属性。 双击 ou=groups 节点。单击 cn=Administrators 节点,然后单击 Edit Entry 按钮。单击 Group Member(uniqueMember) 属性旁的 Add 按钮。在 ou=people 节点下选择 uid=admin,然后单击 OK。uid=admin, ou=people, dc=us, dc=oracle, dc=com 项添加到 uniqueMember 属性值。单击 OK。
|
要创建一个新的 Sun 目录服务器认证提供程序并记录默认的认证提供程序,执行以下步骤:
1. |
启动 Oracle WebLogic Server Administration Console。使用 admin/welcome1 登录。单击 Domain Structure 下的 Security Realms。单击 myrealm。单击 Providers 选项卡。
|
2. |
单击 Change Center 下的 Lock & Edit 按钮。单击 Authentication Providers 下的 New 按钮。输入 SunDSProvider 作为提供程序名称,类型为 IPlanetAuthenticator。单击 OK。
|
| 3. | 单击 SunDSProvider。将 Control Flag 属性值更改为 Sufficient。单击 Save。单击 Provider Specific 选项卡。添加或修改下列属性的值:
单击 Save。
|
| 4. | 单击 Domain Structure 下的 Security Realms。单击 myrealm。单击 Providers 选项卡。单击 DefaultAuthenticator。将 Control Flag 属性值更改为 Sufficient。单击 Save。
|
| 5. | 使用页面顶部显示的定位器链接单击 Providers 链接。单击 Reorder 按钮。选择 SunDSProvider,并使用向上箭头将其移至列表顶端。单击 OK。
|
| 6. | 通过使用 Activate Changes 选项,应用目前位置所做的所有更改。单击 Change Center 下的 Activate Changes。单击 Change Center 下的 View changes and restarts。单击 Restart Checklist 选项卡。选择 AdminServer(admin) 旁的复选框。单击 Stop 按钮。使用 startWebLogic.sh 脚本启动管理服务器。当系统提示输入 WebLogic Server 的用户名和口令时,输入 admin/welcome1。
|
要使用 Sun 目录服务器测试用户认证,执行以下步骤:
1. |
以 root/<root 口令> 登录到 Sun Java Web Console(在此演示中,root 口令为 oracle)。单击 Directory Services Control Center (DSCC)。使用 admin/welcome1 作为 Directory Service Manager/Password 登录。单击 Browse Directory Data。选择名为 <主机名>:389 的目录服务器(此演示中为 edrsr39p1:389)。单击 OK。双击 ou=people 节点。单击 uid=admin 节点并单击 Edit Entry 按钮。将 Password 和 Confirm Password 域的值更改为 welcome2。单击 OK。
|
2. |
重新启动管理服务器,并使用 admin 用户的新凭证登录。导航至您运行 startWebLogic.sh 脚本的终端窗口,使用 ctr-c 停止管理服务器。在同一终端窗口中,使用 startWebLogic.sh 脚本启动管理服务器。当系统提示输入用户名和口令时,输入 admin/welcome2。管理服务器使用来自 Sun 目录服务器认证的新凭证启动。同样,使用 admin/welcome2 凭证登录到 Administration Console。
|
在本教程中,您应该学会了如何:
|
验证前提条件 | |
|
从 Administration Console 查看默认用户、组和角色并修改嵌入式 LDAP 凭证 | |
|
配置 LDAP Browser 以连接 Sun 目录服务器和嵌入式 LDAP 存储 | |
|
使用 LDAP Browser 从嵌入式 LDAP 服务器中导出用户和组并将它们导入到 Sun 目录服务器中 | |
|
创建新的 Sun 目录服务器认证提供程序并记录默认的认证提供程序 | |
|
使用 Sun 目录服务器测试用户认证 | |
|
有关本 OBE 教程的问题,请在 OBE 论坛上发布查询。 |
将鼠标置于该图标上可以隐藏所有的屏幕截图。