Zarządzanie użytkownikami przy użyciu protokołu Lightweight Directory Access Protocol (LDAP)

Te informacje ułatwiają skonfigurowanie rejestru LDAP na potrzeby zarządzania użytkownikami.

Planując korzystanie z rejestru LDAP wraz z produktem Jazz Team Server, należy skonfigurować serwer Apache Tomcat lub WebSphere Application Server do korzystania z rejestru LDAP na potrzeby uwierzytelniania użytkowników.

Aby skonfigurować LDAP do pracy z produktem Jazz Team Server, należy wykonać następujące zadania:
  1. Opis parametrów konfiguracji LDAP.
  2. Proces instalowania i konfiguracji LDAP.
  3. Konfigurowanie kontenera WWW dla LDAP w serwerze Apache Tomcat.
    Uwaga: W tożsamościach użytkowników produktu Jazz Team Server wielkości liter są rozróżniane. Używając LDAP do zarządzania użytkownikami, należy wyłączyć opcję braku rozróżniania wielkości liter. Aby upewnić się, że ustawienia uwzględniają rozróżnianie wielkości liter, należy skonsultować się z administratorem serwera lub sprawdzić w dokumentacji produktu.
  4. Konfigurowanie produktu WebSphere Application Server z dziedziną LDAP.
  5. Tworzenie początkowego użytkownika. Dany użytkownik jest początkowym administratorem produktu Jazz Team Server.
  6. Korzystanie z zadania synchronizacji LDAP.
  7. Korzystanie z kreatora instalowania przy konfiguracji produktu Jazz Team Server do pracy z LDAP.
  8. Importowanie użytkowników.

Opis parametrów konfiguracji LDAP

Tabela 1. Parametry LDAP i opisy
Parametr Opis wartości
Położenie rejestru LDAP Adres URL odwołujący się do serwera LDAP. ldap://ldap.przyklad.com:389
Nazwa użytkownika Nazwa użytkownika do zalogowania się na danym serwerze LDAP. Niektóre serwery LDAP umożliwiają anonimowe logowanie. W takim przypadku ten parametr pozostaje pusty.
Hasło Hasło powiązane z daną nazwą użytkownika.
Podstawowa nazwa wyróżniająca użytkowników Podstawa wyszukiwania określa miejsce w danej hierarchii, w którym należy rozpocząć wyszukiwanie użytkowników. Na przykład "o=firma,l=miasto,c=kraj"
Odwzorowanie nazw właściwości użytkowników Odwzorowanie nazw właściwości użytkowników produktu Jazz na nazwy atrybutów wpisów do rejestru LDAP. Należy zdefiniować następujące odwzorowania:
  • userId =[ID użytkownika LDAP]
  • name =[nazwa użytkownika LDAP]
  • emailAddress =[adres e-mail użytkownika LDAP]

Właściwość userid określa ID użytkownika używany, gdy użytkownik loguje się do systemu. Właściwość name jest używana przy wyświetlaniu nazwy w interfejsie użytkownika.

Na przykład userId=mail,name=cn,emailAddress=mail

Podstawowa nazwa wyróżniająca grupy Ta podstawa wyszukiwania określa miejsce w danej hierarchii, w którym należy rozpocząć wyszukiwanie nazw grup (np. ou=lista_czlonkow,ou=grupy_uzytkownika,o=przyklad.com)
Odwzorowanie grup produktu Jazz na grupy LDAP Odwzorowanie między grupami produktu Jazz a grupami LDAP. Jedna grupa produktu Jazz może być odwzorowana na wiele grup LDAP. Grupy LDAP muszą być oddzielone średnikami. Na przykład JazzAdmins=LDAPAdmins1;LDAPAdmins2 odwzorowuje grupę JazzAdmins na grupy LDAPAdmins1 i LDAPAdmins2. Produkt Jazz Team Server definiuje pięć grup, które można odwzorowywać:
  • JazzAdmins =[Grupa LDAP dla administratorów produktu Jazz]
  • JazzUsers =[Grupa LDAP dla użytkowników produktu Jazz]
  • JazzDWAdmins =[Grupa LDAP dla administratorów hurtowni danych produktu Jazz]
  • JazzGuests =[Grupa LDAP dla gości produktu Jazz]
  • JazzProjectAdmins =[Grupa LDAP dla administratorów projektu w produkcie Jazz]
Na przykład JazzAdmins= TwojaGrupaA, JazzUsers= TwojaGrupaB, JazzDWAdmins= TwojaGrupaC, JazzGuests= TwojaGrupaD, JazzProjectAdmins= TwojaGrupaE.
Właściwość Nazwa grupy Właściwość LDAP reprezentująca nazwę grupy produktu Jazz w rejestrze LDAP. Na przykład cn. Właściwość ta jest używana w zapytaniach do pobierania grup LDAP. Aby pobrać grupę LDAP, zapytanie używa kombinacji Podstawowej nazwy wyróżniającej grupy i Nazwy grupy.
Właściwość Członek grupy Właściwość LDAP reprezentująca członków grupy w danym rejestrze LDAP. Na przykład uniquemember.

Proces instalowania i konfiguracji LDAP

Aby skonfigurować połączenie LDAP i przeprowadzić import użytkowników, wykonaj następujące czynności:
  1. Zatrzymaj serwer.
  2. Jeśli wcześniej były podejmowane próby zainstalowania serwera LDAP, utwórz kopię zapasową pliku JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Otwórz do edycji plik JazzInstallDir/jazz/server/tomcat/conf/server.xml i usuń znaki komentarza przed następującym znacznikiem dziedziny:
    <Realm className="org.apache.catalina.realm.DziedzinaBazyDanychUzytkownika"
                 resourceName="BazaDanychUzytkownika" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Zapisz plik przeprowadź restart serwera.
  5. Otwórz okno przeglądarki WWW i przejdź do adresu https://localhost:9443/jazz/setup.
  6. Zaloguj się jako ADMIN/ADMIN (zarówno w nazwie użytkownika, jak i w haśle rozróżniane są wielkości liter).
  7. Kliknij przycisk Konfiguracja niestandardowa.
  8. Klikaj przycisk Dalej aż do przejścia na stronę 5, Konfigurowanie rejestru użytkownika.
  9. W Kroku 1, w sekcji Typ, wybierz przełącznik Baza danych użytkowników serwera Tomcat.
  10. W Kroku 3 zaznacz pole wyboru Wyłącz domyślny dostęp ADMIN.
  11. W Kroku 4 zaznacz pole wyboru licencji Rational Team Concert - Developer.
  12. Kliknij przycisk Dalej, aby utworzyć tego pierwszego użytkownika.
  13. Kliknij przycisk Wstecz, aby powrócić do strony 5, Konfigurowanie rejestru użytkownika.
  14. W Kroku 1 wybierz przełącznik LDAP.
  15. Wypełnij pola w Sekcji 2. Więcej informacji na ten temat zawiera sekcja Opis parametrów konfiguracji LDAP.
  16. Wyłącz serwer.
  17. Konfigurowanie kontenera WWW dla LDAP w serwerze Apache Tomcat.
  18. Zrestartuj serwer.
  19. Otwórz okno przeglądarki WWW i przejdź do adresu https://localhost:9443/jazz/admin.
  20. Zaloguj się przy użyciu ID użytkownika, który został utworzony, aby przetestować połączenie.

Konfigurowanie kontenera WWW dla LDAP w serwerze Apache Tomcat

Dodatkowe informacje na temat konfigurowania serwera Apache Tomcat dla LDAP zawierają wymienione niżej strony pokrewne. Aby skonfigurować kontener WWW dla LDAP w serwerze Apache Tomcat, wykonaj następujące czynności:
  1. Otwórz do edycji plik JazzInstallDir/jazz/server/tomcat/conf/server.xml i wprowadź znak komentarza przed następującym znacznikiem:
    <Realm className="org.apache.catalina.realm.DziedzinaBazyDanychUzytkownika"
                 resourceName="BazaDanychUzytkownika" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Dodaj następujący znacznik dla usługi katalogowej Oracle Internet Directory (OID):
    <Realm className="org.apache.catalina.realm.DziedzinaJNDI" 
     debug="99"
     connectionURL="ldap://ldap.firma.com:389"
     roleBase="cn=Grupy,dc=firma,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Uzytkownicy,dc=firma,dc=com"
     userSearch="(uid={0})"/>
    Dodaj następujący znacznik dla usługi katalogowej Microsoft® Active Directory:
    <Realm className="org.apache.catalina.realm.DziedzinaJNDI" 
     debug="99"
     connectionURL="ldap://ldap.firma.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=UzytkownikLDAP,ou=Konta uslug,dc=firma,dc=com"
     connectionPassword="BardzoTajneHaslo" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=firma,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=firma,dc=com"/>
  3. Otwórz do edycji plik JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml, a w nim powiąż i odwzoruj odniesienia ról dostępu na role dostępu:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Dodatek
    Jeśli nazwy grup LDAP są takie same, jak domyślne role produktu Jazz
    nie ma potrzeby dodawania poniższych znaczników
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[Grupa LDAP dla administratorów produktu Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[Grupa LDAP dla administratorów produktu Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[Grupa LDAP dla administratorów produktu Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[Grupa LDAP dla administratorów produktu Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[Grupa LDAP dla administratorów produktu Jazz]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Użyj poniższych znaczników do zadeklarowania grup LDAP jako ról dostępu:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Dodatek
    Jeśli nazwy grup LDAP są takie same, jak domyślne role produktu Jazz
    nie ma potrzeby dodawania poniższych znaczników
    -->
    <role-name>[Grupa LDAP dla administratorów produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla administratorów hurtowni danych produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla gości produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla użytkowników produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla administratorów projektu w produkcie Jazz]</role-name>
    <!-- Koniec Dodatku -->
    </security-role>
    <!-- ... -->
    </web-app>
    Poniższe znaczniki służą do aktualizacji sekcji security-constraint:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Dodatek
    Jeśli nazwy grup LDAP są takie same, jak domyślne role produktu Jazz
    nie ma potrzeby dodawania poniższych znaczników
    -->
    
    <role-name>[Grupa LDAP dla administratorów produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla administratorów hurtowni danych produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla gości produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla użytkowników produktu Jazz]</role-name>
    <role-name>[Grupa LDAP dla administratorów projektu w produkcie Jazz]</role-name>
    <!-- Koniec Dodatku -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>POUFNE</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Ten sam dodatek należy powtórzyć dla każdej sekcji each security-constraint odnoszącej się do grupy Jazz:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Dodatek -->
    <role-name>[Grupa LDAP dla administratorów produktu Jazz]</role-name>
    <!-- Koniec Dodatku -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>POUFNE</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Opinia