Rational Asset Manager может интегрироваться с хранилищами
LDAP для идентификации пользователей, получения сведений о них и усиления связей между группами.
Прежде чем начать
Для выполнения этих действий требуются права администратора хранилища. Необходимо знать схему LDAP используемого реестра.
Процедура
- Войдите в веб-приложение
Rational
Asset Manager.
- Откройте страницу Администрирование.
- В разделе Администрирование хранилища нажмите Конфигурация.
- В разделе Нестандартный реестр пользователей включите переключатель Использовать нестандартный реестр пользователей.
- Если для интеграции с нестандартным реестром пользователей планируется использовать пользовательский класс, необходимо указать полный путь к классу; в противном случае следует использовать класс по умолчанию.
- Введите ИД пользователя, который будет иметь права администратора в Rational Asset Manager. (Если администратор не настроен, войти в веб-приложение Rational Asset Manager с правами администратора и изменять его конфигурацию будет невозможно.)
- Выберите Настройки.
- На странице Конфигурация нестандартного класса пользователей заполните форму для настройки взаимосвязи между Rational Asset Manager и схемой реестра LDAP. Если это поле оставить пустым, оно автоматически будет заполнено значением по умолчанию. Если это поле не должно содержать значение, введите
пробел (" ").
- URL сервера LDAP: URL сервера LDAP
(например, ldap://<URL>:389).
Для защищенного соединения URL имеет вид ldaps://<URL>:636.
- Отличительное имя пользователя: Имя пользователя для входа в реестр.
Введите отличительное имя пользователя, например uid=123456,c=us,ou=exampleorganization,o=example.com.
- Пароль пользователя: Пароль для указанного выше пользователя.
- Свойство уникального ИД для пользователя: Имя свойства экземпляра objectClass для пользователя, представляющее уникальный ИД. Например, свойство serialNumber объекта person (objectClass) или свойство sAMAccountName объекта user (objectClass).
- Свойство ИД входа пользователя: Свойство (objectClass), используемое пользователем для входа. Хотя обычно уникальный ИД и ИД входа в систему совпадают, реестр может быть настроен таким образом, чтобы для входа в систему использовался другой идентификатор (например, адрес электронной почты). Свойство ИД входа должно совпадать с ИД входа пользователя на шаге 6.
- Свойство телефонного номера пользователя: Свойство
(objectClass), представляющее телефонный номер пользователя. Например, свойство telephonenumber объекта person (objectClass).
- Адрес эл. почты пользователя: Свойство объекта (objectClass), представляющее адрес электронной почты пользователя. Например, свойство mail объекта person (objectClass).
- Свойство отображаемого имени пользователя:
Свойство объекта (objectClass), представляющее имя пользователя, показываемое в интерфейсе. Например, свойство cn объекта person (objectClass).
- Адрес эл. почты пользователя: Свойство объекта (objectClass), представляющее язык электронной почты пользователя. Например, свойство language объекта person (objectClass). Если оставить это поле пустым, будет применено значение по умолчанию, и пользователи смогут выбрать язык электронной почты командой меню . Если это поле заполнено, используется указанный в нем язык LDAP.
Если значение - один из поддерживаемых Rational Asset Manager языков, например
de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr
или ru, оно добавляется в параметры профайлов пользователей. Если значение недопустимое или не существует в LDAP, используется язык по умолчанию - en (английский).
- Свойство класса пользователей пользователя: Свойство
(objectClass) для определения принадлежности пользователя определенному классу пользователей.
Если это поле оставить пустым, пользователи не будут делиться на классы.
Можно ввести любое свойство из хранилища LDAP.
Введите DN для классификации пользователей по отличительному имени LDAP.
- База поиска пользователей в LDAP: Введите путь к корню ветви, с которой должен начинаться поиск пользователей, чтобы избежать поиска в частях реестра, не содержащих объектов пользователей.
Пример: ou=exampleorganization,o=example.com.
- Фильтр поиска пользователей: Шаблон, который будет применяться во время поиска пользователей. %v представляет искомое слово, указанное в поле ввода. Поиск будет выполняться, как будто в конце искомого слова стоит символ подстановки. Шаблон поиска по умолчанию ищет все objectClass person, у которых свойство mail или name совпадает с искомым словом.
- База поиска групп в LDAP: База поиска групп (ее функция аналогична функции базы поиска пользователей). Пример: ou=memberlist,ou=groups,o=example.com.
- Фильтр поиска групп: Фильтр для поиска групп (его функция аналогична функции фильтра для поиска пользователей).
Фильтр по умолчанию ищет groupOfUniqueNames (статическая группа), groupOfNames (статическая группа
LDAP), groupOfUrls (динамическая группа LDAP) и group (группа в Active Directory) для искомого слова.
- Шаблон URL изображений: Обычно изображения не хранятся в реестре LDAP. Данный шаблон используется для загрузки изображений по URL во время извлечения информации о пользователе из реестра.
${свойство} в шаблоне представляет свойство objectClass LDAP объекта пользователя, которое будет заменено значением во время загрузки изображения. Например, для пользователя со свойством uid, равным 123456, шаблон по умолчанию https://<URL-сервера-изображений>/photo/${uid}.jpg будет преобразован в URL https://<URL-сервера-изображений>/photo/123456.jpg.
Результаты
Теперь веб-приложение Rational Asset Manager настроено на использование LDAP для идентификации пользователей и получения информации о пользователях. Администраторы сообществ могут связать группы пользователей с группами в реестре LDAP на странице Группы пользователей сообщества. Для идентификации пользователей с помощью LDAP требуется его настройка в административной консоли WebSphere Application Server.
Прим.: Если используется идентификация пользователей с помощью LDAP и имя хоста LDAP имеет несколько IP-адресов в конфигурации сети, необходимо в административной консоли WebSphere Application Server настроить соответствующее свойство, чтобы предотвратить возможную блокировку учетных записей пользователей LDAP в случае, когда пользователи пытаются войти в Rational Asset Manager с неправильными идентификационными данными.
Неправильное имя пользователя заставляет сервер проверять пользователя с каждым IP-адресом, что влечет за собой множественные отказы во входе в систему. Если задано максимальное количество попыток входа в систему, одна попытка входа с неверными идентификационными данными может вызвать блокировку учетной записи LDAP. Инструкции по предотвращению подобной ситуации приведены в разделе http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672.