Gestión de usuarios con Lightweight Directory Access Protocol (LDAP)

A continuación, se explica cómo configurar el registro LDAP con el fin de gestionar a los usuarios.

Si pretende utilizar un registro LDAP con su Jazz Team Server, debe configurar su Apache Tomcat o servidor de aplicaciones WebSphere para que utilice un registro LDAP con el fin de autenticar a los usuarios.

Para configurar un LDAP con el fin de que funcione con Jazz Team Server, realice estas tareas:
  1. Explicación de los parámetros de configuración de LDAP.
  2. Proceso de configuración de LDAP.
  3. Configure el contenedor web de LDAP en Apache Tomcat.
    Nota: La Jazz Team Server identidad del usuario distingue las mayúsculas y minúsculas. Cuando utiliza LDAP para la gestión de usuarios, desactive la opción de sensibilidad a las mayúsculas/minúsculas. Trabaje con el administrador del servidor o consulte la documentación del producto para asegurarse de que los valores sean sensibles a las mayúsculas/minúsculas.
  4. Configure el servidor de aplicaciones WebSphere con dominio LDAP.
  5. Crear usuario inicial. Este usuario es el administrador inicial Jazz Team Server.
  6. Utilización de la tarea de sincronización de LDAP.
  7. Utilice el asistente de configuración para configurar Jazz Team Server para que utilice LDAP.
  8. Importar los usuarios.

Explicación de los parámetros de configuración de LDAP

Tabla 1. Descripciones y parámetros de LDAP
Parámetro Descripción de valores
Ubicación del registro de LDAP El URL que hace referencia a su servidor LDAP. ldap://ldap.example.com:389
Nombre de usuario El nombre de usuario para iniciar sesión en este servidor LDAP. Algunos servidores LDAP permiten el inicio de sesión y anónimo y las contraseñas. En este caso, este parámetro está en blanco.
Contraseña La contraseña asociada al nombre de usuario.
Nombre distinguido (DN) de usuario base La base de búsqueda indica en qué lugar de la jerarquía comenzar la búsqueda de usuarios. Por ejemplo, "o=empresa,l=su ciudad,c=su país"
Correlación de nombres de propiedades de usuario Correlación de los nombres de propiedades de usuario Jazz con los nombres de atributos de entrada de registro de LDAP. Debe definir las siguientes correlaciones:
  • userId =[ID de usuario LDAP]
  • name =[nombre de usuario LDAP]
  • emailAddress =[correo electrónico de usuario LDAP]

La propiedad userid identifica al ID de usuario que se utiliza cuando un usuario inicia sesión en el sistema. La propiedad del nombre se utiliza para representar al nombre en la interfaz de usuario.

Por ejemplo, ID de usuario=correo, nombre=cn, dirección de correo electrónico=correo

Nombre distinguido (DN) de grupo base Esta base de búsqueda indica dónde iniciar la búsqueda de nombres de grupo en la jerarquía; por ejemplo, ou=lista de miembros, ou=sus grupos, o=ejemplo.com
Jazz con correlación de grupo LDAP La correlación entre grupos Jazz y grupos LDAP. Un grupo Jazz puede correlacionarse con varios grupos LDAP. Los grupos LDAP deben estar separados por un punto y coma. Por ejemplo, JazzAdmins=LDAPAdmins1; LDAPAdmins2 se correlaciona con los grupos JazzAdmins LDAPAdmins1 y LDAPAdmins2. Jazz Team Server define cinco grupos que se correlacionan con:
  • Administradores Jazz =[Grupo LDAP para administradores Jazz]
  • Usuarios Jazz =[Grupo LDAP para usuarios Jazz]
  • Administradores de DW Jazz =[Grupo LDAP para administrador de depósito de datos Jazz]
  • Invitados Jazz =[Grupo LDAP para invitado Jazz]
  • JazzProjectAdmins =[Grupo LDAP con Jazz project admins]
Por ejemplo, JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD, JazzProjectAdmins= YourGroupE.
Propiedad de nombre de grupo La propiedad LDAP que representa el nombre de los grupos Jazz en el registro LDAP. Por ejemplo, cn. Se utiliza en la consulta para recuperar un grupo LDAP. Para recuperar un grupo LDAP, una consulta utiliza una combinación del DN de grupo base y la propiedad del nombre de grupo.
Propiedad de miembro de grupo La propiedad LDAP que representa a los miembros de un grupo en el registro LDAP. Por ejemplo, miembro único.

Proceso de configuración de LDAP

Para configurar la conexión LDAP e importar usuarios, siga estos pasos:
  1. Detenga el servidor.
  2. Si ha intentado instalar el servidor LDAP con anterioridad, realiza una copia de seguridad del archivo JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Abra el archivo JazzInstallDir/jazz/server/tomcat/conf/server.xml para editar y descomentar el siguiente código de reino:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Guarde el archivo y reinicie el servidor.
  5. Abra una ventana del navegador web y vaya a https://localhost:9443/jazz/setup.
  6. Inicie una sesión en ADMIN/ADMIN (el nombre de usuario y la contraseña son sensibles a las mayúsculas y a las minúsculas).
  7. Pulse el botón Instalación personalizada.
  8. Pulse Siguiente hasta que alcance la página 5, Configuración del registro de usuarios.
  9. En la sección Paso 1, en Tipo, marque el botón de selección Base de datos de usuarios Tomcat.
  10. En el Paso 3, seleccione la casilla de verificación Inhabilite el acceso ADMIN predeterminado.
  11. En el Paso 4, seleccione la casilla de verificación de la licencia Rational Team Concert - Desarrollador.
  12. Pulse Siguiente para crear a este primer usuario.
  13. Pulse Anterior para volver a la página 5, Configuración del registro de usuarios.
  14. En el Paso 1, marque el botón de selección LDAP.
  15. Rellene los campos de la Sección 2. Para obtener más información, consulte Explicación de los parámetros de configuración de LDAP.
  16. Cierre el servidor.
  17. Configure el contenedor web de LDAP en Apache Tomcat.
  18. Reinicie el servidor.
  19. Abra una ventana del navegador web y vaya a https://localhost:9443/jazz/admin.
  20. Inicie una sesión con el ID de usuario que haya creado para probar la conexión.

Configure el contenedor web de LDAP en Apache Tomcat

Si desea obtener más información acerca de la configuración de Apache Tomcat para LDAP, consulte los enlaces relacionados que aparecen a continuación. Para configurar el contenedor web de LDAP en Apache Tomcat, siga estos pasos:
  1. Abra el archivo JazzInstallDir/jazz/server/tomcat/conf/server.xml para editar y comentar el siguiente código:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Añada el siguiente código para Oracle Internet Directory (OID):
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Añada el código siguiente para Microsoft® Active Directory:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Abra el archivo JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml para editar, enlazar y correlacionar las referencias de los roles de seguridad con los roles de seguridad.
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    Si los nombres de los grupos LDAP son los mismos que los roles predeterminados de Jazz
    no tendrá que añadir los siguientes códigos
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Utilice los siguientes códigos para declarar los grupos LDAP como roles de seguridad:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Si los nombres de los grupos LDAP son los mismos que los roles predeterminados de Jazz
    no tendrá que añadir los siguientes códigos
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    Utilice los siguientes códigos para actualizar la sección de restricción de seguridad:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Si los nombres de los grupos LDAP son los mismos que los roles predeterminados de Jazz
    no tendrá que añadir los siguientes códigos
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Repita el mismo anexo en cada restricción de seguridad que haga referencia a un grupo de Jazz:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Comentarios