WebSphere Process Server与LDAP问题收集故障诊断信息
http://www-900.ibm.com/cn/support/faqhtmlfaq/2997899L28003.htm
关于LDAP的配置
关于LDAP的配置问题需要注意以下几点:
1.访问控制列表(Access Control List,ACL) 没有包含某些标识名 (Distinguished Name, DN) ,导致LDAP查询操作失败。
2.由于多次尝试登陆操作失败导致DN被锁定。
3.由更改等原因造成的DN密码错误。
4.LDAP服务器不支持匿名查询。
5.WebSphere应用服务器中定义的缺省过滤器(filter)与用户定义的设置不兼容。(例如:未定义objectclass= someObjectClass)
6.防火墙阻拦了在指定端口上的通信。
7.为LDAP指定了一个非标准端口。(标准端口是389和636(SSL))。
8.将LDAP管理员用户ID作为服务器的系统管理员ID,但管理员用户并没有被定义为标准的用户。
通常,ldapsearch 实用工具在诊断LDAP的配置相关问题时非常有帮助。ldapsearch 是一个命令行工具,它的原理与WebSphere Process Server查询LDAP服务器类似。使用ldapsearch 进行查询可以得到那些有可能被WPS“屏蔽”的返回结果。UNIX?操作系统会附带ldapsearch 工具,而对于Windows? 用户来说,需要单独下载ldapsearch。
ldapsearch 可以使用用户通过WebSphere Process Server 管理控制台 > Security > Global security > User registries > LDAP settings 定义的相关配置参数。关于这些设置的具体说明如下:
设置说明
服务器用户ID从LDAP查询得到的ID的缩写名(short name)
服务器用户密码对应用户ID的密码
目录类型预定义的LDAP服务器列表。选择特定的目录将更新在“高级属性”中定义的过滤器。
主机LDAP服务器的主机名。这个名称可以指定为缩写,全称或者IP地址。
端口号LDAP缺省端口号是389。
基准DN(Base distinguished name, baseDN)LDAP目录树的最顶部。
绑定DN(Bind distinguished name, bindDN)在请求与LDAP服务器建立绑定时客户端需要指定的访问用户,以确保其有足够的权限能够访问服务器上的目录 信息。有些LDAP服务器允许匿名查询,因此bindDN和bind密码不是必须的。
Bind 密码BindDN 的密码。
LDAP 高级属性相关描述
用户过滤器(User filter)用于查询LDAP服务器的字符串。
用户ID映射(User ID map)在WebSphere 中显示的查询结果的定义。
可以使用下面的命令查询目录服务器:
ldapsearch -h host -p port -b "baseDN" -D bindDN -w bind_password "user_filter"
在Tivoli? Directory Server上,使用-w选项加上问号“?”将会提示用户输入bind密码,因此密码信息不会记录在shell历史中。通常,ldapsearch 以及LDAP服务器的密码保护机制根据版本的不同而略有差别。
下面是使用ldapsearch 的一个简单示例:
C:\> ldapsearch -h petunia -p 389 -b "o=ibm,c=us" uid=test
cn=test,o=ibm,c=us
sn=test
objectclass=top
objectclass=organizationalPerson
objectclass=ePerson
objectclass=person
objectclass=inetOrgPerson
uid=test
cn=test
这个查询应该返回一条记录。如果没有结果返回或者返回多条结果,应修改user_filter以及在WebSphere Process Server中使用的过滤器。
收集LDAP特定信息
1. 在WebSphere Process Server定义的配置内容(如:baseDN, bindDN, bind 密码等)的ldapsearch 的查询结果。
2. 如果用户使用了安全套接层(Secure Sockets Layer,SSL)加密并且问题只在使用SSL时发生,那么请使用一个可以公开的密码生成新的认证信息,并将认证信息(包括密码)发送给IBM技术支持 机构。同时说明用到的是服务器端认证还是客户端认证(或同时用到二者)。
3.收集日志和跟踪文件。将下面目录的所有文件打包提交:
<WPS_install>/profiles/<profile_name>/logs/<server_name>/*
4. 有关LDAP的配置参数的截屏。
具体地,从WebSphere Process Server 管理控制台:
* Security > Global security
* Security > Global security > LDAP
* Security > Global security > LDAP > Advanced Lightweight Directory Access Protocol (LDAP) user registry settings
说明:如果查询过滤器不可见,请拷贝用户过滤器(User Filter) 和组过滤器(Group Filter)的查询字符串。
* Security > Global security > LDAP > Custom properties
如果问题发生在配置LDAP staff plug-in provider,还需要提供下面的截屏信息:
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Custom properties
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Staff plug-in configuration (如果未使用缺省的LDAP Staff Plugin 配置示例,请提供所用到的XSL文件)
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Staff plug-in configuration > LDAP Staff Plugin Configuration sample (或相应的XSL 文件)
* Resources > Staff plug-in provider > LDAP Staff Plugin Provider > Staff plug-in configuration > LDAP Staff Plugin Configuration sample > Custom properties (或相应的XSL 文件)
项目交换文件
1. 请提供尽量简化的项目交换文件用于重现问题。方法:
使用WebSphere Integration Developer,选择“文件”->“导出”,在弹出的对话框中选择“项目交换文件”并点击“下一步”,选择项目相关的模块然后将其导出 到一个压缩(.zip)文件中。
注:请将该项目交换文件的依赖项(例如:库)一并提供,以确保在运行时期间这些资源可用。
2. 详细描述应用的配置方法和重现问题的步骤。
