配置用户注册表

缺省情况下,IBM® Rational® Asset Manager 使用基于文件的认证在平面文件中存储用户信息。您可以改为使用其他用户注册表(例如轻量级目录访问协议 (LDAP))或数据库来存储用户信息。提供了一个通用类来访问 LDAP 注册表,但您也可以指定定制类来访问其他类型的注册表。

开始之前

如果将 LDAP 注册表用于认证和用户信息,那么必须先配置 Rational Asset Manager 的 LDAP 集成,然后才能在服务器配置中启用 LDAP 集成。

在服务器配置中,您可以从 LDAP 注册表中指定存储库管理员。在服务器配置中启用 LDAP 集成后,您无法通过将 admin 用作用户标识和密码来进行登录。

提示: 不应在生产环境中使用基于文件的认证。LDAP 或定制用户注册表支持常用安全性实践(例如密码模式、密码到期和帐户锁定的规则)以防止枚举攻击。基于文件的认证不支持这些功能。

编辑“定制用户注册表”设置后,必须重新启动服务器。

关于此任务

Rational Asset Manager 与 LDAP 的集成具有三个部分:
  • 用户认证
  • 用户信息
  • 组绑定

设置应用程序服务器将 LDAP 用于用户认证

Rational Asset Manager 依赖应用程序服务器(例如 IBM WebSphere® Application Server 或 Apache Tomcat 的配置)来与 LDAP 注册表连接以及对 Web 或 Web Service 用户登录进行认证。

开始之前

您必须指定管理员标识。如果不设置有效的管理员标识,那么当您将容器切换为使用外部注册表时,将无法通过使用 admin 用户标识和密码登录到 Rational Asset Manager 且无法配置该产品。

要设置管理员标识,单击管理 > 配置。然后,找到“定制用户注册表”部分并为外部注册表中的有效用户指定管理员标识。

过程

要将容器设置为使用 LDAP 注册表:

  1. 暂时将容器切换为使用定制的基于文件的注册表(使用 Rational Asset Manager 文件)。
  2. 设置 Rational Asset Manager 管理员。
  3. 切换回 LDAP 注册表。

用户信息

虽然 LDAP 是常用用户注册表,但也可从其他类型的注册表(如文件系统、服务和内容管理器)提供用户信息。即使在使用 LDAP 的情况下,用于存储信息的模式或方式都超出了 Rational Asset Manager 中缺省用户类的能力。因此,您可以使用会扩展 CustomUserInformationFactory 类的任何类。要使用其他类名,您必须设置该名称。

关于此任务

Rational Asset Manager 已配置为使用与 LDAP V3 注册表连接并提供用户信息 API 的通用 LDAPUserInformationFactory 类。

缺省 LDAPUserInformationFactory 类是通用的 LDAP 用户信息工厂(该工厂需要特定的配置来搜索和检索用户和组)。以下信息说明每个配置。

Rational Asset Manager 中的每个用户条目具有一个关联的用户标识,该用户标识来自用户注册表,如 LDAP。 如果 LDAP 注册表中没有找到某个用户标识,那么 Rational Asset Manager 中用户条目的显示名称将更改为在名称后面追加 (Not found)。不会对用户条目进行其他更改。例如,找不到的用户标识的资产的所有者不会更改。某个用户标识在 LDAP 注册表中找不到可能是因为从 LDAP 注册表中移除了整个用户条目,或者是因为用户标识在 LDAP 注册表中更改。如果用户标识在 LDAP 注册表中发生更改,并且 Rational Asset Manager 中使用了此用户标识,那么将在 Rational Asset Manager 中创建新用户标识的新用户条目。

组绑定

您可以设置 Rational Asset Manager 来搜索组。如果将 Rational Asset Manager 绑定到组,那么无法添加或除去用户。 Rational Asset Manager 使用注册表的组成员,并对该组进行同步。要添加或除去用户,请除去此绑定。这些成员会保留在该组中,但该组无法同步。

反馈