IBM Portal重名问题分析及问题

　　一、问题的提出

　　在我的门户环境里门户连接的LDAP(环境用的是MS AD),这个LDAP体系结构由一个根,根下面连结N个子域;除了根域没有连接门户外,一个子域连接一个门户.那么每个门户都能连接到LDAP林.其中有一个门户是核心门户,其它门户都能跟它实现互访.由于登录门户是从林里查找,故输入用户名的时候,要整个林是唯一,否则登录不进去.

　　二、问题的分析

　　登录不进门户,后台会报一个有多个用户匹配,不能识别的错.这个原因在于,在配置门户连接时,要设置一个查找用户的过滤器,门户通过它实现输入名字(简称)转换成LDAP的全称来认证用户,而在这个环境中,由于是用到林的认证而非在所直接连接的LDAP认证,故在匹配用户的时候,就会找到多个用户,系统无法知道是那个就报错上述的错出来.比如,输入hello简称,会生成一个如"cn=hello,dc=目录,dc=节点,dc=根名,dc=com"的一个全称,但是有多个子域存在hello,就会找到全名如"cn=hello,dc=目录,dc=节点1,dc=根名,dc=com","cn=hello,dc=目录,dc=节点2,dc=根名,dc=com"等等多个全称进行匹配,导致系统不知道要确认那一个,就会抛出错误.

　　三、解决问题的策略

　　a.在门户的用户搜索角度(配置上)来看,

　　1)能否设置门户的wmm.xml(它能配置搜索策略,在里面有个searchBase的字段说明从哪个目录去搜索)文件,让它只在只在本域里面找.事实上,这样做是可以做到让输入的简称去匹配本域的用户全称,然而一旦这样做了,就是影响到门户的认证策略,因此会影响门户互访,因为互访也要调用认证策略对SSO的用户来认证,依我推测会影响到这个问题,故我否定了这个方法.

　　2)是否可以设置两个搜索策略,先在本地认证,如果再到林里认证,细想这个也不行,同样要影响到互访且门户也不支持两种策略的.