Felhasználók kezelése egyszerűsített címtár-hozzáférési protokollal (LDAP)

Ezek az információk segítséget nyújtanak az LDAP nyilvántartás beállításához, amellyel kezelhetők a felhasználók.

Ha a Jazz Team Server termékkel LDAP nyilvántartást készül használni, akkor az Apache Tomcat vagy WebSphere Application Server kiszolgálót úgy kell beállítania, hogy LDAP nyilvántartás alapján hitelesítsék a felhasználókat.

Az LDAP és a Jazz Team Server együttműködésének beállításához végezze el a következő feladatokat:
  1. Az LDAP konfigurációs paraméterek bemutatása.
  2. LDAP konfiguráció beállításának folyamata.
  3. Állítsa be az Apache Tomcat kiszolgáló LDAP webes tárolóját..
    Megjegyzés: A Jazz Team Server felhasználói azonossága megkülönbözteti a kis- és nagybetűket. Ha az LDAP protokollal kezeli a felhasználókat, akkor kapcsolja ki a kis- és nagybetűk különbségét figyelmen kívül hagyó beállítást. Annak beállításához, hogy a beállításokban a kis- és nagybetűk különbözőnek számítsanak, forduljon a kiszolgáló rendszergazdájához, vagy olvassa el a termékdokumentációt.
  4. A WebSphere Application Server beállítása LDAP tartománnyal.
  5. Kezdeti felhasználó létrehozása. Ez a felhasználó a kezdeti Jazz Team Server rendszergazda.
  6. Az LDAP szinkronizálási feladat használata.
  7. A Jazz Team Server és az LDAP protokoll együttes használatának beállításához használja a beállítás varázslót.
  8. A felhasználók importálása.

Az LDAP konfigurációs paraméterek bemutatása

1. Táblázat LDAP paraméterek és leírásuk
Paraméter Érték leírása
LDAP nyilvántartás helye Az az URL, amely az LDAP kiszolgálóra hivatkozik. ldap://ldap.example.com:389
Felhasználónév A bejelentkezéshez használt felhasználónév az LDAP kiszolgálón. Egyes LDAP kiszolgálók engedélyezik a névtelen bejelentkezést és jelszót. Ilyenkor ez a paraméter üres.
Jelszó A felhasználónévhez társított jelszó.
Alap felhasználó DN A keresési alap azt jelzi, hogy a hierarchián belül hol kell elkezdeni a felhasználók keresését. Például "o=vállalat,l=település,c=ország"
Felhasználói tulajdonságnevek leképezése A Jazz felhasználói tulajdonságnevek leképezése az LDAP nyilvántartás bejegyzéseinek attribútumneveire. A következő leképezéseket kell meghatározni:
  • userId =[LDAP felhasználói azonosító]
  • name =[LDAP felhasználónév]
  • emailAddress =[LDAP felhasználó e-mail címe]

A userid tulajdonság azt a felhasználói azonosítót azonosítja, amelyet a felhasználó a rendszerbe bejelentkezéskor használ. A name tulajdonság a név megjelenítésére szolgál a felhasználói felületen.

Például userId=mail,name=cn,emailAddress=mail

Alap csoport DN Ez a keresési alap azt jelzi, hogy a hierarchián belül hol kell kezdeni a csoportnevek keresését. Például ou=taglista,ou=csoportok,o=pelda.com
Jazz - LDAP csoport leképezés A Jazz csoportok és az LDAP csoportok közötti leképezés. Egy Jazz csoport több LDAP csoportra is leképezhető. Az LDAP csoportokat pontosvesszővel kell elválasztani egymástól. Például a JazzAdmins=LDAPAdmins1;LDAPAdmins2 leképezi a JazzAdmins csoportot az LDAPAdmins1 és az LDAPAdmins2 csoportra. A Jazz Team Server öt leképezhető csoportot határoz meg:
  • JazzAdmins =[LDAP csoport a Jazz adminisztrátorok számára]
  • JazzUsers =[LDAP csoport a Jazz felhasználók számára]
  • JazzDWAdmins =[LDAP csoport a Jazz adattárház adminisztrátorai számára]
  • JazzGuests =[LDAP csoport a Jazz vendég felhasználói számára]
  • JazzProjectAdmins =[LDAP csoport a Jazz projektadminisztrátorok számára]
Példa: JazzAdmins= munkacsoportA, JazzUsers= MunkacsoportB, JazzDWAdmins= MunkacsoportC, JazzGuests= MunkacsoportD, JazzProjectAdmins= MunkacsoportE.
Csoportnév tulajdonság Az az LDAP tulajdonság, amely a Jazz csoportokat képviseli az LDAP nyilvántartásban. Például cn. Ez az LDAP csoportokat beolvasó lekérdezésben használatos. Az LDAP csoportok beolvasásához a lekérdezés az Alap csoport DN és a Csoportnév tulajdonság kombinációit használja.
Csoporttag tulajdonság Az LDAP nyilvántartásban szereplő csoportok tagjait megjelenítő LDAP tulajdonság. Például egyedi_tag.

LDAP konfiguráció beállításának folyamata

Az LDAP kapcsolat konfigurálásához és a felhasználók importálásához tegye a következőket:
  1. Állítsa le a kiszolgálót.
  2. Ha előzőleg megpróbálta telepíteni az LDAP kiszolgálót, akkor készítsen biztonsági másolatot a JazzTelepítésiKönyvtár/jazz/server/tomcat/conf/server.xml fájlról.
  3. Nyissa meg a JazzInstallDir/jazz/server/tomcat/conf/server.xml fájlt szerkesztésre, majd távolítsa el a megjegyzésjelet a következő tartománycímke elől:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Mentse a fájlt, majd indítsa újra a kiszolgálót.
  5. Nyisson meg egy webböngészőt, és nyissa meg a https://localhost:9443/jazz/setup webhelyet.
  6. Jelentkezzen be az ADMIN/ADMIN azonosítóval (a kis- és nagybetűk a felhasználónévben és a jelszóban is különbözőnek számítanak).
  7. Kattintson az Egyéni beállítás gombra.
  8. Kattintson a Tovább gombra, amíg el nem éri az 5. oldalt (Felhasználói nyilvántartás beállítása).
  9. Az 1. lépésben a Típus szakaszban jelölje be a Tomcat felhasználói adatbázis választógombot.
  10. A 3. lépésben jelölje be az Alapértelmezett ADMIN hozzáférés letiltása jelölőnégyzetet.
  11. A 4. lépésben jelölje be a Rational Team Concert - Fejlesztő licenc jelölőnégyzetét.
  12. Kattintson a Tovább gombra az első felhasználó létrehozásához.
  13. Az Előző gombra kattintva térjen vissza az 5. oldalra (Felhasználói nyilvántartás beállítása).
  14. Az 1. lépésben jelölje be az LDAP választógombot.
  15. Töltse ki a 2. szakasz mezőit. A további tudnivalók Az LDAP konfigurációs paraméterek bemutatása című témakörben olvashatók.
  16. Állítsa le a kiszolgálót.
  17. Állítsa be az Apache Tomcat kiszolgáló LDAP webes tárolóját..
  18. Indítsa újra a kiszolgálót.
  19. Nyisson meg egy webböngészőt, és nyissa meg a https://localhost:9443/jazz/admin webhelyet.
  20. A kapcsolat teszteléséhez jelentkezzen be az imént létrehozott felhasználónévvel.

Állítsa be az Apache Tomcat kiszolgáló LDAP webes tárolóját.

Az Apache Tomcat LDAP protokollhoz történő beállításával kapcsolatos további információkat az alábbi hivatkozásokon keresztül érheti el. Az Apache Tomcat LDAP webes tárolójának beállításához tegye a következőket:
  1. Nyissa meg a JazzTelepítésiKönyvtár/jazz/server/tomcat/conf/server.xml fájlt szerkesztésre, és tegye megjegyzésjelek közé a következő címkét:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Vegye fel a következő címkét az Oracle Internet Directoryba (OID):
    <Realm
    className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Vegye fel a következő címkét a Microsoft Active Directoryba:
    <Realm
    className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Nyissa meg a JazzTelepítésiKönyvtár/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml fájlt szerkesztésre, és képezze le a biztonsági szerepkör-hivatkozásokat a biztonsági szerepkörökre:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Kiegészítés
    Ha az LDAP csoportok nevei megegyeznek az alapértelmezett Jazz
    szerepkörökkel, akkor a következő címkéket nem kell felvennie.
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP csoport Jazz adminisztrátoroknak]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP csoport Jazz adminisztrátoroknak]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP csoport Jazz adminisztrátoroknak]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP csoport Jazz adminisztrátoroknak]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP csoport Jazz adminisztrátoroknak]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Az alábbi címkékkel deklarálja biztonsági szerepkörökként az LDAP csoportokat:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Kiegészítés
    Ha az LDAP csoportok nevei megegyeznek az alapértelmezett Jazz
    szerepkörökkel, akkor a következő címkéket nem kell felvennie.
    -->
    <role-name>[LDAP csoport Jazz adminisztrátoroknak]</role-name>
    <role-name>[LDAP csoport Jazz
    adattárház-adminisztrátoroknak]</role-name>
    <role-name>[LDAP csoport Jazz vendég
    felhasználóknak]</role-name>
    <role-name>[LDAP csoport Jazz felhasználóknak]</role-name>
    <role-name>[LDAP csoport Jazz
    projektadminisztrátoroknak]</role-name>
    <!-- Kiegészítés vége -->
    </security-role>
    <!-- ... -->
    </web-app>
    Az alábbi címkékkel frissítse a security-constraint szakaszt:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Kiegészítés
    Ha az LDAP csoportok nevei megegyeznek az alapértelmezett Jazz
    szerepkörökkel, akkor a következő címkéket nem kell felvennie.
    -->
    
    <role-name>[LDAP csoport Jazz adminisztrátoroknak]</role-name>
    <role-name>[LDAP csoport Jazz
    adattárház-adminisztrátoroknak]</role-name>
    <role-name>[LDAP csoport Jazz vendég
    felhasználóknak]</role-name>
    <role-name>[LDAP csoport Jazz felhasználóknak]</role-name>
    <role-name>[LDAP csoport Jazz
    projektadminisztrátoroknak]</role-name>
    <!-- Kiegészítés vége -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Ismételje meg ugyanezt a kiegészítést a Jazz csoportokra hivatkozó minden egyes security-constraint szakaszban:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Kiegészítés -->
    <role-name>[LDAP csoport Jazz adminisztrátoroknak]</role-name>
    <!-- Kiegészítés vége -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Visszajelzés