Настройка реестра пользователей

По умолчанию IBM® Rational Asset Manager использует идентификацию на основе файлов и информация о пользователях хранится в обычном файле. Кроме того, информацию о пользователях можно хранить в других реестрах пользователей, таких как LDAP, или в базе данных. Для доступа к реестрам LDAP предоставлен общий класс; при необходимости для доступа к реестрам других типов можно указать пользовательский класс.

Прежде чем начать

Если для идентификации и хранения информации о пользователях применяется реестр LDAP, то перед включением интеграции LDAP в конфигурации сервера необходимо настроить Rational Asset Manager для интеграции LDAP.

В конфигурации сервера можно назначить администратора хранилища из реестра LDAP. После включения интеграции LDAP в конфигурации сервера будет запрещен вход в систему с помощью имени пользователя и пароля admin.

Совет: Идентификация на основе фала не предназначена для использования в рабочей среде. LDAP или пользовательский реестр пользователей поддерживает средства защиты, такие как правила для шаблонов паролей, срок действия пароля и блокировки учетных записей для предотвращения угрозы подбора пароля. Идентификация на основе файла не поддерживает эти функции.

После изменения параметров пользовательского реестра пользователей необходимо перезапустить сервер.

Об этой задаче

Интеграция Rational Asset Manager и LDAP состоит из трех компонентов:
  • Идентификация пользователя
  • Информация о пользователе
  • Связывания группы

Настройка сервера приложений для применения идентификации пользователей LDAP

Rational Asset Manager применяет сервер приложений, такой как IBM WebSphere Application Server или Apache Tomcat, для подключения к реестру LDAP и идентификации пользователей при обращении к веб-страницам и веб-службам.

Прежде чем начать

Необходимо указать ИД администратора. Если ИД администратора не указан, то после настройки контейнера для работы с внешним реестром вы не сможете войти в Rational Asset Manager с помощью имени пользователя пароля admin.

Для того чтобы настроить ИД администратора, выберите Администрирование > Настройка. Затем найдите раздел Нестандартный реестр пользователей и укажите ИД администратора для допустимого пользователя во внешнем реестре.

Процедура

Для того чтобы настроить взаимодействие контейнера с реестром LDAP, выполните следующие действия:

  1. Временно переключите контейнер на использование пользовательского реестра на основе файла (использование файлов Rational Asset Manager).
  2. Укажите администратора Rational Asset Manager.
  3. Вернитесь к реестру LDAP.

Информация о пользователе

Несмотря на то, что LDAP выполняет роль общего реестра пользователей, информацию о пользователях можно получать из реестров других типов, таких как файловые системы, службы и администраторы содержимого. Даже в случае LDAP, схема или способ хранения информации выходят за пределы возможностей класса пользователя по умолчанию в Rational Asset Manager. Таким образом, можно использовать любой класс, расширяющий класс CustomUserInformationFactory. Для того чтобы использовать другое имя класса, необходимо установить имя.

Об этой задаче

Rational Asset Manager настроен для работы с общим классом LDAPUserInformationFactory, который подключается к реестру LDAP v3 и предоставляет API информации о пользователе.

Класс LDAPUserInformationFactory является общей фабрикой информации о пользователях LDAP и требует определенной настройки для поиска и извлечения пользователей и групп. Следующая информация объясняет каждую конфигурацию.

С каждой записью пользователя в Rational Asset Manager связан ИД пользователя из реестра пользователей, такого как LDAP. Если ИД пользователя больше не находится в реестре LDAP, то отображаемое имя записи пользователя в Rational Asset Manager изменяется путем прибавления к имени строки (Not found). Никакие другие изменения не вносятся в запись пользователя. Например, не изменяется принадлежность ресурсов пользователю, который не найден. ИД пользователя может отсутствовать в реестре LDAP, потому что вся запись пользователя удалена из реестра LDAP, или потому что ИД пользователя изменен в реестре LDAP. Если ИД пользователя изменяется в реестре LDAP, и этот ИД используется в Rational Asset Manager, новая запись пользователя для нового ИД пользователя создается в Rational Asset Manager.

Связывания группы

Rational Asset Manager можно настроить для поиска групп. После связывания Rational Asset Manager с группой нельзя добавлять и удалять пользователей. Rational Asset Manager использует участников группы реестра и синхронизирует группу. Для добавления или удаления пользователей следует удалить связывание. Участники остаются в группе, однако нельзя выполнить синхронизацию группы.

Комментарии