我希望有人能帮助我解决IBM FileNet Content Manager 5.2.1(又名P8 5.2.1)的一个令人沮丧的配置问题。
我们有一个现有的系统设置,它使用Microsoft Active Directory作为P8的LDAP目录服务,到目前为止运行良好。(通过内容平台引擎.NET API)使用WCF而不是旧版(现在已弃用)WSE但我们遇到了一个问题。WCF要求所有通信都通过SSL进行-表面上,如果您想通过SSL与IBM Content Platform Engine(CPE)通信,根据IBM的文档,您还必须将底层默认LDAP连接从不安全更改为SSL(在此过程中,将LDAP更改为使用端口636而不是389)。
根据Microsoft和IBM的文档,我首先在Active Directory上启用了LDAP over SSL,并进行了相应的测试。使用Microsoft的LDAP实用程序**ldp.exe,我可以通过SSL在端口636上成功连接并绑定到Active Directory。
然而,下一步是我碰壁的地方-Enabling SSL for Content Platform Engine。我遵循了所有涉及将Active Directory Server的CA证书添加到CPE的应用程序服务器密钥库的步骤-没有问题。然而,配置说明中的下一步要求您启动CPE管理控制台(ACCE)并重新配置目录配置属性-告诉它在端口636和.上使用SSLKABOOM!**当我尝试 * 保存 * 配置时,保存 * 失败 *,说明
出现异常,消息为:连接ldap://ad1.domain.com失败:636
不幸的是,我找不到任何额外的信息,为什么它无法连接-我认为这是由于一些小的,如端口冲突。为了测试这一理论,我安装了微软的LDAP测试实用程序的CPE服务器上,并试图连接到Active Directory服务器上的SSL端口636。令我惊讶的是,这工作得很好- grrrr...
我现在有点不知所措,不知道下一步该看什么。有没有人有在Active Directory环境中配置CPE使用SSL的经验?
提前感谢任何和所有的帮助。
2条答案
按热度按时间tf7tbtn21#
WCF要求所有通信都通过SSL进行--表面上看,这不是问题。但是,如果您想通过SSL与IBM Content Platform Engine(CPE)通信,根据IBM的文档,您还必须将底层默认LDAP连接从不安全更改为SSL
这是不正确的。FileNet可以与不安全的LDAP一起工作,同时与WCF一起工作。
现在,如果您想解决FileNet无法连接到安全LDAP的原因,那么您应该从WebSphere检查WebSphere的Keystores以确保包含AD的密钥。遵循@M.Tamboli的建议并重新启动WebSphere。还要确保检查WebSphere的SystemOut.log日志,因为您可能会在那里找到更多信息。
我不确定这是否必要,但是您可能还希望添加/更改WebSphere本身中设置的LDAP配置。
qvtsj1bj2#
是的,FileNet可以使用非安全LDAP,同时使用WCF。一旦删除WSE,NET客户端就可以使用安全主机端口。LDAP仍然是不安全的。使用Certs MMC安装根CA,并将签名者添加到私有JVM缓存中,然后/或者jee java也可以。现在您可以在Webmgr中启用SSL。您可能需要更新wsadmin属性,以便Webmgr脚本使用TLS安全性。