Benutzerregistry konfigurieren

Standardmäßig verwendet IBM® Rational Asset Manager eine dateibasierte Authentifizierung und speichert die Benutzerinformationen in einer unstrukturierten Datei. Stattdessen können Sie aber auch andere Benutzerregistrys verwenden, wie z. B. Lightweight Directory Access Protocol (LDAP) oder eine Datenbank, in der die Benutzerinformationen gespeichert werden. Für den Zugriff auf LDAP-Registrys wird eine generische Klasse bereitgestellt, aber Sie können auch eine angepasste Klasse angeben, um auf andere Typen von Registrys zuzugreifen.

Vorbereitende Schritte

Wenn Sie eine LDAP-Registry für die Authentifizierung und für Benutzerinformationen verwenden, bevor Sie die LDAP-Integration in der Serverkonfiguration aktivieren, müssen Sie Rational Asset Manager für die LDAP-Integration konfigurieren.

In der Serverkonfiguration können Sie einen Repository-Administrator aus der LDAP-Registry ernennen. Wenn Sie die LDAP-Integration in der Serverkonfiguration aktiviert haben, können Sie sich nicht mit admin als Benutzer-ID und Kennwort anmelden.

Tipp: Die dateibasierte Authentifizierung ist nicht für die Verwendung in einer Produktionsumgebung geeignet. Ein LDAP-Registry oder ein angepasste Benutzerregistry unterstützt allgemeine Sicherheitspraktiken, wie beispielsweise Regeln für Kennwortmuster, Kennwortablauf und Kontosperrungen, um wiederholte Angriffe zu unterbinden. Die dateibasierte Authentifizierung unterstützt diese Funktionen nicht.

Wenn Sie die Einstellungen der angepassten Benutzerregistry bearbeitet haben, müssen Sie den Server erneut starten.

Informationen zu diesem Vorgang

Die Integration von Rational Asset Manager und LDAP besteht aus drei Teilen:
  • Benutzerauthentifizierung
  • Benutzerinformationen
  • Gruppenbindungen

Anwendungsserver für die Verwendung von LDAP zur Benutzerauthentifizierung einrichten

Rational Asset Manager setzt einen Anwendungsserver (z. B. eine Konfiguration von IBM WebSphere Application Server oder Apache Tomcat) voraus, damit eine Verbindung zur LDAP-Registry hergestellt werden kann und um Benutzeranmeldungen beim Web oder bei Web-Services zu authentifizieren.

Vorbereitende Schritte

Sie müssen eine Administrator-ID angeben. Wenn Sie keine gültige Administrator-ID konfigurieren, können Sie sich bei einem Containerwechsel (um die externe Registry zu verwenden) nicht mit der Benutzer-ID admin und dem entsprechenden Kennwort bei Rational Asset Manager anmelden und Sie können das Produkt nicht konfigurieren.

Um eine Administrator-ID einzurichten, klicken Sie auf Administration > Konfiguration. Definieren Sie anschließend im Abschnitt 'Angepasste Benutzerregistry' eine Administrator-ID für einen gültigen Benutzer in der externen Registry.

Vorgehensweise

Gehen Sie wie folgt vor, um Ihren Container für den Einsatz mit einer LDAP-Registry zu konfigurieren:

  1. Wechseln Sie vorübergehend den Container, um die angepasste dateibasierte Registry zu verwenden (unter Verwendung der Rational Asset Manager-Dateien).
  2. Konfigurieren Sie einen Rational Asset Manager-Administrator.
  3. Wechseln Sie wieder zur LDAP-Registry.

Benutzerinformationen

Auch wenn LDAP eine gängige Benutzerregistry ist, können die Benutzerinformationen auch von anderen Arten von Registrys bereitgestellt werden, beispielsweise von Dateisystemen, Services und Content Managers. Selbst im Fall von LDAP geht das Schema bzw. die Methode, mit dem bzw. der die Informationen gespeichert werden, über die Funktionalität der Standardbenutzerklasse in Rational Asset Manager hinaus. Deshalb können Sie jede Klasse verwenden, die die Klasse CustomUserInformationFactory erweitert. Soll ein anderer Klassenname verwendet werden, müssen Sie den Namen konfigurieren.

Informationen zu diesem Vorgang

Rational Asset Manager ist für eine generische Klasse LDAPUserInformationFactory konfiguriert, die eine Verbindung zu einer Registry von LDAP Version 3 herstellt und die die Benutzerinformations-API bereitstellt.

Die Standardklasse LDAPUserInformationFactory ist eine generische Factory für LDAP-Benutzerinformationen; sie erfordert eine spezielle Konfiguration für das Suchen und Abrufen von Benutzern und Gruppen. In den folgenden Informationen wird jede Konfiguration erläutert.

Jeder Benutzereintrag in Rational Asset Manager hat eine zugeordnete Benutzer-ID, die aus einer Benutzerregistry wie LDAP kommt. Wenn eine Benutzer-ID in der LDAP-Registry nicht mehr gefunden wird, wird der Anzeigename für den Benutzernamen in Rational Asset Manager geändert, indem der Zusatz (Not found) angehängt wird. Es werden keine anderen Änderungen an dem Benutzereintrag vorgenommen. Zum Beispiel wird das Eigentumsrecht von Assets einer Benutzer-ID, die nicht gefunden wird, nicht geändert. Eine Benutzer-ID wird möglicherweise in der LDAP-Registry nicht gefunden, weil der gesamte Benutzereintrag aus der LDAP-Registry entfernt wurde oder weil die Benutzer-ID in der LDAP-Registry geändert wurde. Wenn eine Benutzer-ID in der LDAP-Registry geändert wird und diese Benutzer-ID in Rational Asset Manager verwendet wird, wird in Rational Asset Manager ein neuer Benutzereintrag für die neue Benutzer-ID erstellt.

Gruppenbindungen

Sie können Rational Asset Manager für die Suche nach Gruppen konfigurieren. Wenn Sie Rational Asset Manager an eine Gruppe binden, können Sie keine Benutzer hinzufügen oder entfernen. Rational Asset Manager verwendet die Gruppenmitglieder einer Registry und synchronisiert die Gruppe. Zum Hinzufügen oder Entfernen von Benutzern müssen Sie die Bindung entfernen. Die Mitglieder verbleiben in der Gruppe, aber die Gruppe kann nicht synchronisiert werden.

Feedback