WebLogic Server'da Java uygulamalarını Azure'a geçirirken son kullanıcı yetkilendirmesini ve kimlik doğrulamasını etkinleştirme

Makale
10/25/2024

Bu kılavuz, Microsoft Entra Id kullanarak WebLogic Server'da Java uygulamaları için kurumsal sınıf son kullanıcı kimlik doğrulamasını ve yetkilendirmesini etkinleştirmenize yardımcı olur.

Java EE geliştiricileri, iş yüklerini Azure'a taşırken bile standart platform güvenlik mekanizmalarının beklendiği gibi çalışmasını bekler. Oracle WebLogic Server (WLS) Azure uygulamaları , yerleşik güvenlik alanını Microsoft Entra Domain Services kullanıcılarıyla doldurmanıza olanak tanır. Azure uygulamalarındaki Java EE'nizde standart <security-role> öğeyi kullandığınızda, kullanıcı bilgileri Microsoft Entra Domain Services'dan Basit Dizin Erişim Protokolü (LDAP) aracılığıyla akar.

Bu kılavuz iki bölüme ayrılmıştır. Güvenli LDAP kullanıma sunulan Microsoft Entra Etki Alanı Hizmetleri'ne zaten sahipseniz WLS'yi Yapılandırma bölümüne atlayabilirsiniz.

Bu kılavuzda şunların nasıl yapılacağını öğrenin:

Microsoft Entra Domain Services yönetilen etki alanı oluşturun ve yapılandırın.
Microsoft Entra Domain Services tarafından yönetilen bir etki alanı için güvenli Basit Dizin Erişim Protokolü (LDAP) yapılandırın.
WebLogic Server'ın LDAP'ye varsayılan güvenlik bölgesi olarak erişmesini etkinleştirin.

Bu kılavuz, mevcut bir Microsoft Entra Id Domain Services dağıtımlarını yeniden yapılandırmanıza yardımcı olmaz. Ancak, bu kılavuzla birlikte izlemek ve hangi adımları atlayabileceğinizi görmek mümkün olmalıdır.

Önkoşullar

Azure aboneliği. Azure aboneliğiniz yoksa ücretsiz hesap oluşturun.
Microsoft Entra Domain Services'ı dağıtma özelliği. Daha fazla bilgi için bkz . Microsoft Entra Domain Services yönetilen etki alanı oluşturma ve yapılandırma.
Azure Sanal Makineler'de Oracle WebLogic Server çalıştırmaya yönelik çözümler nelerdir? bölümünde listelenen WLS Azure uygulamalarından birini dağıtma özelliği
Linux için Windows Alt Sistemi (WSL), GNU/Linux veya macOS yüklü Windows ile yerel bir makine.
Azure CLI sürüm 2.54.0 veya üzeri.

Geçiş bağlamını göz önünde bulundurun

Aşağıdaki listede, şirket içi WLS yüklemelerini ve Microsoft Entra Kimliğini geçirme konusunda dikkate alınması gereken bazı şeyler açıklanmaktadır:

LDAP aracılığıyla Etki Alanı Hizmetleri sunulmadan zaten bir Microsoft Entra ID kiracınız varsa, bu kılavuz LDAP özelliğini kullanıma sunma ve WLS ile tümleştirmeyi gösterir.
Senaryonuz bir şirket içi Active Directory ormanı içeriyorsa, Microsoft Entra Id ile bir karma kimlik çözümü uygulamayı göz önünde bulundurun. Daha fazla bilgi için Karma kimlik belgelerine bakın.
Zaten bir şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) dağıtımınız varsa, Kendi kendine yönetilen Active Directory Etki Alanı Hizmetlerini, Microsoft Entra Kimliğini ve yönetilen Microsoft Entra Domain Services'ı karşılaştırma başlığı altında geçiş yollarını keşfedin.
Bulutu iyileştiriyorsanız, bu kılavuz microsoft Entra ID Domain Services LDAP ve WLS ile sıfırdan nasıl başlayacağınızı gösterir.
WebLogic Server'ı Azure Sanal Makineler'a geçirmeyle ilgili kapsamlı bir anket için bkz. WebLogic Server uygulamalarını Azure Sanal Makineler geçirme.
Active Directory ve Microsoft Entra Id hakkında daha fazla bilgi için bkz . Active Directory'yi Microsoft Entra Id ile karşılaştırma.

Microsoft Entra Domain Services yönetilen etki alanını yapılandırma

Bu bölümde, WLS ile tümleştirilmiş bir Microsoft Entra Domain Services yönetilen etki alanını hazırlamaya yönelik tüm adımlarda size yol gösterilir. Microsoft Entra ID, Basit Dizin Erişim Protokolü (LDAP) protokolunu veya Güvenli LDAP'yi doğrudan desteklemez. Bunun yerine destek, Microsoft Entra Id kiracınızdaki Microsoft Entra Domain Services yönetilen etki alanı örneği aracılığıyla etkinleştirilir.

Not

Bu kılavuzda, Microsoft Entra Domain Services'ın "yalnızca bulut" kullanıcı hesabı özelliği kullanılır. Diğer kullanıcı hesabı türleri desteklenir, ancak bu kılavuzda açıklanmamıştır.

Microsoft Entra Domain Services yönetilen etki alanı oluşturma ve yapılandırma

Bu makalede, Microsoft Entra Domain Services tarafından yönetilen etki alanını desteklemek için ayrı bir öğretici kullanılır.

Etki Alanı Hizmetleri için kullanıcı hesaplarını etkinleştirme bölümüne kadar microsoft Entra Domain Services yönetilen etki alanı oluşturma ve yapılandırma öğreticisini tamamlayın. Bu bölüm, sonraki bölümde açıklandığı gibi bu öğretici bağlamında özel işlem gerektirir. DNS eylemlerini tamamen ve doğru bir şekilde tamamladığınızdan emin olun.

"Yönetilen etki alanınız için bir DNS etki alanı adı girin" adımını tamamlarken belirttiğiniz değeri not edin. Bu makalenin devamında bunu kullanacaksınız.

Kullanıcı oluşturma ve parolaları sıfırlama

Aşağıdaki adımlarda, kullanıcıların LDAP aracılığıyla başarıyla yayılmasına neden olmak için gerekli olan kullanıcı oluşturma ve parolalarını değiştirme adımları gösterilmektedir. Mevcut bir Microsoft Entra Domain Services yönetilen etki alanınız varsa, bu adımlar gerekli olmayabilir.

Azure portalında, Microsoft Entra Id kiracısına karşılık gelen aboneliğin şu anda active directory olduğundan emin olun. Doğru dizini seçmeyi öğrenmek için bkz . Microsoft Entra kiracınıza Azure aboneliği ekleme veya ilişkilendirme. Yanlış dizin seçilirse, kullanıcı oluşturamazsınız veya yanlış dizinde kullanıcı oluşturursunuz.
Azure portalının üst kısmındaki arama kutusuna Kullanıcılar yazın.
Yeni kullanıcı'ya tıklayın.
Kullanıcı oluştur'un seçili olduğundan emin olun.
Kullanıcı adı, ad, Ad ve Soyadı değerlerini girin. Kalan alanları varsayılan değerlerinde bırakın.
Oluştur'u belirleyin.
Tabloda yeni oluşturulan kullanıcıyı seçin.
Parola sıfırlama'yı seçin.
Görüntülenen panelde Parolayı sıfırla'yı seçin.
Geçici parolayı not edin.
"Gizli" veya özel bir tarayıcı penceresinde Azure portalını ziyaret edin ve kullanıcının kimlik bilgileri ve parolası ile oturum açın.
İstendiğinde parolayı değiştirin. Yeni parolayı not edin. Daha sonra kullanacaksınız.
Oturumu kapatın ve "gizli" penceresini kapatın.

Etkinleştirmek istediğiniz her kullanıcı için "Yeni kullanıcı seç" ile "Oturumu kapat ve kapat" adımlarını yineleyin.

Microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma

Bu bölümde, WLS'yi yapılandırmada kullanılacak değerleri ayıklamak için ayrı bir öğreticide size yol gösterilir.

İlk olarak, öğreticiyi çalıştırırken aşağıdaki çeşitlemelere göz atabilmeniz için microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma öğreticisini ayrı bir tarayıcı penceresinde açın.

İstemci bilgisayarlar için sertifikayı dışarı aktarma bölümüne ulaştığınızda, .cer ile biten sertifika dosyasını nereye kaydettiğinizi not edin. WLS yapılandırmasına giriş olarak sertifikayı kullanırsınız.

Güvenli LDAP erişimini İnternet üzerinden kilitleme bölümüne ulaştığınızda kaynak olarak Herhangi birini belirtin. Bu kılavuzun devamında güvenlik kuralını belirli bir IP adresiyle sıkılaştıracaksınız.

Yönetilen etki alanında sorguları test etme adımlarını yürütmeden önce, testin başarılı olmasını sağlamak için aşağıdaki adımları kullanın:

Azure portalında Microsoft Entra Domain Services örneğinin genel bakış sayfasını ziyaret edin.
Ayarlar alanında Özellikler'i seçin.
Sayfanın sağ bölmesinde, Yönetici grubu'na gelene kadar aşağı kaydırın. Bu başlığın altında AAD DC Yöneticileri için bir bağlantı olmalıdır. Bu bağlantıyı seçin.
Yönet bölümünde Üyeler'i seçin.
Üye ekle'yi seçin.
Arama metni alanına, önceki adımda oluşturduğunuz kullanıcılardan birini bulmak için bazı karakterler girin.
Kullanıcıyı seçin, ardından Seç düğmesini etkinleştirin.

Bu kullanıcı, Yönetilen etki alanına sorguları test etme bölümündeki adımları yürütürken kullanmanız gereken kullanıcıdır.

Not

Aşağıdaki liste, WLS yapılandırması için gerekli bazı değerleri toplamak için yapmanız gereken LDAP verilerini sorgulama hakkında bazı ipuçları sağlar:

Öğretici, Windows programı LDP.exe kullanmanızı önerir. Bu program yalnızca Windows'ta kullanılabilir. Windows dışındaki kullanıcılar için Apache Directory Studio'yu aynı amaçla kullanmak da mümkündür.
LDP.exe ile LDAP'de oturum açarken, kullanıcı adı @'den önceki bölümdür. Örneğin, kullanıcı isealice@contoso.onmicrosoft.com, LDP.exe bağlama eyleminin kullanıcı adı oluralice. Ayrıca, sonraki adımlarda kullanmak üzere LDP.exe çalışır durumda ve oturum açmış olarak bırakın.

Dış erişim için DNS bölgesini yapılandırma bölümünde Güvenli LDAP dış IP adresi değerini not edin. Daha sonra kullanacaksınız.

Güvenli LDAP dış IP adresinin değeri görünür değilse, IP adresini almak için aşağıdaki adımları kullanın:

Azure portalında Microsoft Entra Domain Services kaynağını içeren kaynak grubunu bulun.
Kaynak listesinde, aşağıdaki ekran görüntüsünde gösterildiği gibi Microsoft Entra Domain Services kaynağının genel IP adresi kaynağını seçin. Genel IP adresi büyük olasılıkla ile aaddsbaşlar.

Bu kılavuzda bu yönergeyi verene kadar Kaynakları temizleme bölümündeki adımları yürütmeyin.

Bu çeşitlemeleri göz önünde bulundurarak, Microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma'yı tamamlayın. Artık WLS Yapılandırmasına sağlamanız gereken değerleri toplayabilirsiniz.

Not

Sonraki bölüme geçmeden önce güvenli LDAP yapılandırmasının işlemenin tamamlanmasını bekleyin.

Zayıf TLS v1'i devre dışı bırakma

Varsayılan olarak, Microsoft Entra Domain Services zayıf olarak kabul edilen ve WebLogic Server 14 ve sonraki sürümlerde desteklenmeyen TLS v1'in kullanılmasını sağlar.

Bu bölümde TLS v1 şifrelemesini nasıl devre dışı bırakabileceğiniz gösterilmektedir.

İlk olarak, LDAP'yi etkinleştiren Microsoft Entra Domain Service yönetilen etki alanının kaynak kimliğini alın. Aşağıdaki komut adlı aadds-rgkaynak grubunda adlı aaddscontoso.com bir Azure Etki Alanı Hizmeti örneğinin kimliğini alır:

AADDS_ID=$(az resource show \
    --resource-group aadds-rg \
    --resource-type "Microsoft.AAD/DomainServices" \
    --name aaddscontoso.com \
    --query "id" \
    --output tsv)

TLS v1'i devre dışı bırakmak için aşağıdaki komutu kullanın:

az resource update \
    --ids $AADDS_ID \
    --set properties.domainSecuritySettings.tlsV1=Disabled

Çıktı, aşağıdaki örnekte gösterildiği gibi için domainSecuritySettingsgörüntülenir"tlsV1": "Disabled":

"domainSecuritySettings": {
      "ntlmV1": "Enabled",
      "syncKerberosPasswords": "Enabled",
      "syncNtlmPasswords": "Enabled",
      "syncOnPremPasswords": "Enabled",
      "tlsV1": "Disabled"
}

Daha fazla bilgi için bkz . Microsoft Entra Domain Services yönetilen etki alanını sağlamlaştırma.

Not

Kaynak veya kaynak grubuna kilit eklerseniz, yönetilen etki alanını güncelleştirmeye çalışırken aşağıdaki gibi bir hata iletisiyle karşılaşırsınız: Message: The scope '/subscriptions/xxxxx/resourceGroups/aadds-rg/providers/Microsoft.AAD/domainServices/aaddscontoso.com' cannot perform write operation because the following scope(s) are locked: '/subscriptions/xxxxx/resourceGroups/aadds-rg'. Please remove the lock and try again.

Microsoft Entra Domain Service yönetilen etki alanı için aşağıdaki bilgileri yazın. Bu bilgileri sonraki bir bölümde kullanacaksınız.

Özellik	Açıklama
Sunucu Konağı	Bu değer, Microsoft Entra ID Domain Services yönetilen etki alanı oluşturma ve yapılandırma işlemini tamamlarken kaydettiğiniz genel DNS adıdır.
Güvenli LDAP dış IP adresi	Bu değer, Dış erişim için DNS bölgesini yapılandırma bölümüne kaydettiğiniz Güvenli LDAP dış IP adresi değeridir.
Asıl	Bu değeri almak için LDP.exe dönün ve yalnızca bulutunuzda kullanılmak üzere sorumlunun değerini almak için aşağıdaki adımları kullanın: Görünüm menüsünde Ağaç'ı seçin. Ağaç Görünümü iletişim kutusunda BaseDN'yi boş bırakın ve Tamam'ı seçin. Sağ taraftaki bölmeye sağ tıklayın ve Çıkışı temizle'yi seçin. Ağaç görünümünü genişleterek ile `OU=AADDC Users`başlayan girişi seçin. Gözat menüsünde Ara'yı seçin. Görüntülenen iletişim kutusunda varsayılan değerleri kabul edin ve Çalıştır'ı seçin. Çıkış sağ bölmede göründükten sonra Çalıştır'ın yanındaki Kapat'ı seçin. Gruba eklediğiniz kullanıcıya karşılık gelen girişin çıktısını `Dn` tarayın `AAD DC Administrators` . ile `Dn: CN=<user name>OU=AADDC Users`başlar.
Kullanıcı Tabanı DN ve Grup Tabanı DN	Bu öğreticinin amaçları doğrultusunda, bu özelliklerin her ikisi için de değerler aynıdır: sorumlusu `OU=AADDC Users`.
Sorumlu parolası	Bu değer, gruba eklenen `AAD DC Administrators` kullanıcının parolasıdır.
Microsoft Entra Domain Service LDAPS bağlantısı için ortak anahtar	Bu değer, İstemci bilgisayarlar için sertifika dışarı aktarma bölümünü tamamladığınızda bir kenara kaydetmeniz istenen .cer dosyasıdır.

WLS'yi yapılandırma

Bu bölüm, daha önce dağıtılan Microsoft Entra Domain Service yönetilen etki alanından parametre değerlerini toplamanıza yardımcı olur.

Azure Sanal Makineler'de Oracle WebLogic Server'ı çalıştırmaya yönelik çözümler nelerdir? bölümünde listelenen Azure Uygulaması dağıtımlarından herhangi birini dağıttığınızda, Microsoft Entra Domain Service tarafından yönetilen etki alanını WLS ile tümleştirmek için adımları izleyebilirsiniz.

Azure uygulama dağıtımı tamamlandıktan sonra, WebLogic Yönetim Konsolu'na erişmek için URL'yi bulmak için aşağıdaki adımları kullanın:

Azure portalını açın ve sağladığınız kaynak grubuna gidin.
Gezinti bölmesindeki Ayarlar bölümünde Dağıtımlar'ı seçin. Bu kaynak grubuna yapılan dağıtımların sıralı bir listesini ve en son dağıtımları görürsünüz.
Bu listedeki en eski girdiye kaydırın. Bu giriş, önceki bölümde başlattığınız dağıtıma karşılık gelir. Adı gibi oracle.bir şeyle başlayan en eski dağıtımı seçin.
Çıkışlar’ı seçin. Bu seçenek, dağıtımdan alınan çıkışların listesini gösterir.
adminConsole değeri, WLS yönetim konsolunun tam, genel, İnternet'e görünür bağlantısıdır. Bağlantıyı panonuza kopyalamak ve bir dosyaya kaydetmek için alan değerinin yanındaki kopyala simgesini seçin.

Not

Bu öğreticide, Microsoft Entra Domain Service yönetilen etki alanı LDAP sunucusuna bağlanmak için TLS v1.2'nin nasıl kullanılacağı gösterilmektedir. Uyumluluğu sağlamak için JDK 8'de dağıtımlar için TLS v1.2'yi etkinleştirmeniz gerekir.

JDK sürümünüzü doğrulamak için aşağıdaki adımları kullanın:

adminConsole değerini tarayıcı adres çubuğuna yapıştırın ve WLS yönetici konsolunda oturum açın.
Etki Alanı Yapısı'nın altında Ortam>Sunucuları>yönetici>İzleme Genel'i> seçin ve Java Sürümü'ne tıklayın.

Java sürümünüz 8 ise, aşağıdaki adımları kullanarak TLS v1.2'yi etkinleştirin:

Etki Alanı Yapısı'nın altında Ortam>Sunucuları>yönetici>Yapılandırma>Sunucusu Başlat'ı seçin.
Bağımsız Değişkenler bölümünde değerini -Djdk.tls.client.protocols=TLSv1.2belirtin.
Değişiklikleri kaydetmek için Kaydet’i seçin.
Değişiklik Merkezi'nin altında Değişiklikleri Etkinleştir'i seçerek seçeneği etkinleştirin.

Microsoft Entra Domain Service yönetilen etki alanını WLS ile tümleştirme

WebLogic yönetici sunucusu çalışırken ve Microsoft Entra Domain Service tarafından yönetilen etki alanı LDAP'lerle dağıtılıp güvenli hale getirildiyse, yapılandırmayı başlatmak artık mümkündür.

Genel CA'yi karşıya yükleme ve içeri aktarma

WLS, Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) üzerinden LDAP olan Güvenli LDAP (LDAPS) kullanarak yönetilen etki alanıyla iletişim kurar. Bu bağlantıyı kurmak için genel Sertifika Yetkilisi (CA) sertifikasını ( .cer bir dosya) WLS güven anahtar deposuna yüklemeniz ve içeri aktarmanız gerekir.

Aşağıdaki adımları kullanarak sertifikayı karşıya yükleyin ve yönetici sunucusunu çalıştıran sanal makineye aktarın:

Hızlı Başlangıç: Azure Sanal Makineler'de WebLogic Server'ı dağıtma bölümünün Sanal makineye bağlanma bölümündeki yönergeleri izleyerek erişimi adminVM etkinleştirin.
Bir Bash terminali açın ve aşağıdaki komutları kullanarak sertifikayı karşıya yükleyin. ADMIN_PUBLIC_IP değerini Azure portalında bulabileceğiniz gerçek değerle değiştirin. Makineyi bağlamak için kullandığınız parolayı girmeniz gerekir.
```
export CER_FILE_NAME=azure-ad-ds-client.cer
export ADMIN_PUBLIC_IP="<admin-public-ip>"
export ADMIN_VM_USER="weblogic"

cd <path-to-cert>
scp ${CER_FILE_NAME} "$ADMIN_VM_USER@$ADMIN_PUBLIC_IP":/home/${ADMIN_VM_USER}/${CER_FILE_NAME}
```

Sertifika karşıya yüklendikten sonra aşağıdaki komutları kullanarak sertifikayı WLS etki alanı klasörüne /u01/domains taşımanız ve sahipliğini ile oracle:oracle değiştirmeniz gerekir:

export RESOURCE_GROUP_NAME=contoso-rg
export ADMIN_VM_NAME=adminVM
export CA_PATH=/u01/domains/${CER_FILE_NAME}

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "mv /home/${ADMIN_VM_USER}/${CER_FILE_NAME} /u01/domains; chown oracle:oracle ${CA_PATH}"

Sertifikayı anahtar deponuza aktarın. Azure uygulaması, WLS'yi içinde <jvm-path-to-security>/cacertsvarsayılan bir güven deposu ile sağlar. Belirli yol, JDK sürümüne bağlı olarak değişebilir. Aşağıdaki adımları kullanarak Microsoft Entra Domain Service yönetilen etki alanı genel CA'sını içeri aktarabilirsiniz:

Etki alanı ortam değişkenlerini ayarlamak için kullandığınız betiği sorgulayın.

export DOMIAN_FILE_PATH=$(az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "find /u01/domains -name setDomainEnv.sh" \
    --query value[*].message \
    --output tsv \
    | sed -n '/\[stdout\]/!b; n; p')

echo $DOMIAN_FILE_PATH

Aşağıdaki komutu kullanarak CA'yi içeri aktarın. Önceki bölümde denetlediğiniz Java sürümüne dikkat edin.

Java 11 ve üzeri
Java 8

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/jre/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"

Aşağıdaki örneğe benzer bir çıktı görmeniz gerekir:

{
"value": [
  {
    "code": "ProvisioningState/succeeded",
    "displayStatus": "Provisioning succeeded",
    "level": "Info",
    "message": "Enable succeeded: \n[stdout]\n\n[stderr]\nCertificate was added to keystore\n",
    "time": null
  }
 ]
}

Not

Güven deposunu özelleştirirseniz Entra Domain Service yönetilen etki alanı genel CA'sını güven anahtar deponuza aktarmanız gerekir. Sertifikayı WLS yönetilen sunucularına aktarmanız gerekmez. Daha fazla bilgi için bkz . Ldap kullanmak için WebLogic'i yapılandırma.

WLS ana bilgisayar adı doğrulamayı yapılandırma

Microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma, sertifikadaki ana bilgisayar adı için joker karakter *.aaddscontoso.com kullandığından, WLS yönetici sunucusunu uygun ana bilgisayar adı doğrulamasıyla yapılandırmanız gerekir. Doğrulamayı devre dışı bırakmak için aşağıdaki adımları kullanın. WLS 14 ve üzeri için bunun yerine Joker Karakter Ana Bilgisayar Adı Doğrulama'yı seçebilirsiniz.

adminConsole değerini tarayıcınıza yapıştırın ve WLS yönetici konsolunda oturum açın.
Değişiklik Merkezi'nde Kilitle ve Düzenle'yi seçin.
Ortam>Sunucuları>yöneticisi SSL>Gelişmiş'i> seçin.
Ana Bilgisayar Adı Doğrulama'nın yanında Yok'u seçin.
Yapılandırmayı kaydetmek için Kaydet ve Değişiklikleri Etkinleştir'i seçin.

Güvenli LDAP erişimi için trafiği çözme

İnternet üzerinden güvenli LDAP erişimi etkinleştirildiğinde, istemci bilgisayarların bu yönetilen etki alanını bulabilmesi için DNS bölgenizi güncelleştirebilirsiniz. Güvenli LDAP dış IP adresi değeri, yönetilen etki alanınızın Özellikler sekmesinde listelenir. Daha fazla bilgi için bkz . Dış erişim için DNS bölgesini yapılandırma.

Kayıtlı bir DNS bölgeniz yoksa, dış IP adresine yönelik trafiği (burada bulabilirsinizldaps.aaddscontoso.com) çözmek için ldaps.<managed-domain-dns-name> hosts dosyasına bir girdi adminVM ekleyebilirsiniz. Aşağıdaki komutları çalıştırmadan önce değerini kendi değerlerinizle değiştirin:

export LDAPS_DNS=ldaps.aaddscontoso.com
export LDAPS_EXTERNAL_IP=<entra-domain-services-manged-domain-external-ip>

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "echo \"${LDAPS_EXTERNAL_IP} ${LDAPS_DNS}\" >> /etc/hosts"

Yapılandırmaları yüklemek üzere yönetici sunucusunu yeniden başlatmak için aşağıdaki komutu çalıştırın:

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

LDAP kimlik doğrulama sağlayıcısı oluşturma ve yapılandırma

Sertifika içeri aktarılıp güvenli LDAP erişim trafiği çözümlendikçe, aşağıdaki adımları kullanarak WLS konsolundan LDAP sağlayıcısını yapılandırabilirsiniz:

adminConsole değerini tarayıcı adres çubuğuna yapıştırın ve WLS yönetici konsolunda oturum açın.
Değişiklik Merkezi'nin altında Kilitle ve Düzenle'yi seçin.
Etki Alanı Yapısı'nın altında Güvenlik Bölgesi>myrealm>Sağlayıcıları>Yeni'yi seçin ve yeni bir kimlik doğrulama sağlayıcısı oluşturmak için aşağıdaki değerleri kullanın.
- Ad için yazınAzureEntraIDLDAPProvider.
- Tür için öğesini seçinActiveDirectoryAuthenticator.
Değişikliği kaydetmek için Tamam'ı seçin.
Sağlayıcı listesinde AzureEntraIDLDAPProvider'ı seçin.
Yapılandırma>Ortak>Denetim Bayrağı için YETKİ'yi seçin.
Değişiklikleri kaydetmek için Kaydet’i seçin.
Yapılandırma>Sağlayıcısına Özgü için, daha önce edindiğiniz Microsoft Entra Domain Services yönetilen etki alanı bağlantı bilgilerini girin. Değeri elde etme adımları, Microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma tablosunda listelenmiştir.

Aşağıdaki gerekli alanları doldurun ve diğer alanları varsayılan değerleriyle koruyun:

Kalem	Değer	Örnek değer
ANABİLGİSAYAR	Yönetilen etki alanı LDAP sunucusu DNS, `ldaps.<managed-domain-dns-name>`	`ldaps.aaddscontoso.com`
Bağlantı noktası	`636`	`636`
Müdür	Yalnızca bulut kullanıcınızın sorumlusu	`CN=WLSTest,OU=AADDC Users,DC=aaddscontoso,DC=com`
Kimlik bilgisi	Yalnızca bulut kullanıcınızın kimlik bilgileri	-
SSLEnabled	Seçili	-
Kullanıcı Tabanı DN	Kullanıcı tabanı ayırt edici adınız (DN)	`OU=AADDC Users,DC=aaddscontoso,DC=com`
Ad Filtresinden Kullanıcı	`(&(sAMAccountName=%u)(objectclass=user))`	`(&(sAMAccountName=%u)(objectclass=user))`
Kullanıcı Adı Özniteliği	`sAMAccountName`	`sAMAccountName`
Kullanıcı Nesne Sınıfı	`user`	`user`
Grup Tabanı DN	Grup tabanı DN'niz.	`OU=AADDC Users,DC=aaddscontoso,DC=com`
Grup Üyeliği Arama	`limit`	`limit`
En Fazla Grup Üyeliği Arama Düzeyi	`1`	`1`
Grup Üyeliği Araması için Belirteç Gruplarını Kullanma	Seçili	-
Bağlantı Havuzu Boyutu	`5`	`5`
Bağlanma Zaman Aşımı	`120`	`120`
Bağlantı Yeniden Deneme Sınırı	`5`	`5`
Sonuç Süre Sınırı	`300`	`300`
Etkin Tut Etkin	Seçili	-
Önbellek Etkin	Seçili	-
Önbellek Boyutu	`4000`	`4000`
Önbellek TTL'si	`300`	`300`

Sağlayıcıyı kaydetmek için Kaydet'i seçin.
Yapılandırma'nın yanındaki Performans'ı seçin.
Grup Üyeliği Arama Hiyerarşisi Önbelleğe Almayı Etkinleştir'i seçin.
Arama Önbelleğini Gruplandırmak için SID'yi Etkinleştir'i seçin.
Yapılandırmayı kaydetmek için Kaydet'i seçin.
Değişiklikleri çağırmak için Değişiklikleri Etkinleştir'i seçin.

Not

LDAP sunucusunun ana bilgisayar adına dikkat edin. ldaps.<managed-domain-dns-name> biçiminde olmalıdır. Bu örnekte, değeri şeklindedir ldaps.aaddscontoso.com.

gibi [Security:090834]No LDAP connection could be established. ldap://dscontoso.com:636 Cannot contact LDAP serverbir hatayla karşılaşırsanız sorunu çözmek için yeniden başlatmayı adminVM deneyin.

Değişikliklerin etkili olması için WLS yönetici sunucusunu yeniden başlatmanız gerekir. Yönetici sunucusunu yeniden başlatmak için aşağıdaki komutu çalıştırın:

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

Not

Bir kümedeki bir uygulamanın kimliğini Microsoft Entra Id'den kullanıcılarla doğrularsanız, sağlayıcıyı etkinleştirmek için yönetilen sunucuyu yeniden başlatmanız gerekir. Sunucuyu barındıran sanal makineyi yeniden başlatarak bunu yapabilirsiniz.

Doğrulama

Yönetici sunucusunu yeniden başlattıktan sonra tümleştirmenin başarılı olduğunu doğrulamak için aşağıdaki adımları kullanın:

WLS Yönetici konsolunu ziyaret edin.
Gezinti bölmesinde ağacı genişletin ve Güvenlik Bölgesi>myrealm>Sağlayıcıları'nı seçin.
Tümleştirme başarılı olursa Microsoft Entra ID sağlayıcısını bulabilirsiniz. Örneğin AzureEntraIDLDAPProvider.
Gezinti bölmesinde ağacı genişletin ve Güvenlik Bölgesi>myrealm>Kullanıcıları ve Grupları'nı seçin.
Tümleştirme başarılı olursa, Microsoft Entra ID sağlayıcısından kullanıcıları bulabilirsiniz.

Not

Kullanıcılar ve Gruplar'a ilk kez erişişiniz kullanıcıları yüklemek birkaç dakika sürer. WLS, kullanıcıları önbelleğe alır ve sonraki erişimde daha hızlıdır.

İnternet üzerinden LDAP erişimini kilitleme ve güvenliğini sağlama

Önceki adımlarda güvenli LDAP'yi ayakta dururken, kaynağı ağ güvenlik grubundaki AllowLDAPS kural için Any olarak ayarlayın. WLS Yönetici Sunucusu dağıtılıp LDAP'ye bağlandığından, Azure portalını kullanarak genel IP adresini alın. İnternet üzerinden güvenli LDAP erişimini kilitleyin ve Tümü değerini WLS Yönetici sunucusunun belirli IP adresiyle değiştirin.

Kaynakları temizleme

Şimdi Microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma bölümündeki Kaynakları temizleme bölümündeki adımları izlemenin zamanı geldi.

Sonraki adımlar

WebLogic Server uygulamalarını Azure'a geçirmenin diğer yönlerini keşfedin.

WebLogic Server uygulamalarını Azure Sanal Makineler'a geçirme

Aracılığıyla paylaş