RTCz: Gerenciamento de Usuários com Protocolo LDAP

Estas informações o ajudam a configurar seu registro LDAP para gerenciar usuários.

Se você planeja usar um registro LDAP com o Jazz Team Server para System z, deverá configurar o Apache Tomcat ou o WebSphere Application Server para usar um registro LDAP para autenticar usuários.

Para configurar o LDAP para funcionar com o Jazz Team Server para System z, siga estas tarefas:
  1. Compreendendo os Parâmetros de Configuração do LDAP.
  2. Processo de Instalação de Configuração LDAP.
  3. Configurar o Contêiner de Web para LDAP em Apache Tomcat.
    Nota: A identidade do usuário do Jazz Team Server para System z faz distinção entre maiúsculas e minúsculas. Ao utilizar o LDAP para gerenciamento de usuários, desative a opção de distinção entre letras maiúsculas e minúsculas. Trabalhe com seu administrador do servidor ou consulte a documentação do seu produto para garantir que as configurações façam distinção entre maiúsculas e minúsculas.
  4. Configure o WebSphere Application Server com região LDAP.
  5. Crie um usuário inicial. Este usuário é o administrador inicial do Jazz Team Server para System z.
  6. Uso da tarefa de sincronização LDAP.
  7. Use o assistente de configuração para configurar o Jazz Team Server para System z para usar LDAP.
  8. Importar os usuários.

Compreendendo os Parâmetros de Configuração do LDAP

Tabela 1. Parâmetros e Descrições do LDAP
Parâmetro Descrição do valor
Local do Registro LDAP A URL que faz referência ao seu servidor LDAP. ldap://ldap.example.com:389
Nome do Usuário O nome do usuário para efetuar login neste servidor LDAP. Alguns servidores LDAP permitem login e senha anônimos. Neste caso, este parâmetro está em branco.
Senha A senha associada com o nome de usuário.
DN do Usuário Base A base da procura indica onde iniciar a busca de usuários na hierarquia. Por exemplo, "o=company,l=your city,c=your country"
Mapeamento de Nomes de Propriedades de Usuários O mapeamento de nomes de propriedades de usuários do Jazz para nomes de atributos de entrada de registro LDAP. Você deve definir os seguintes mapeamentos:
  • userId =[LDAP user ID]
  • name =[LDAP user name]
  • emailAddress =[LDAP user e-mail]

A propriedade userid identifica o ID do usuário que é usado quando um usuário efetua login no sistema. A propriedade name é usada para renderizar o nome na interface com o usuário.

Por exemplo, userId=mail,name=cn,emailAddress=mail

DN do Grupo Base Esta base de pesquisa indica onde na hierarquia iniciar a pesquisa de nomes de grupo, por exemplo, ou=memberlist, ou=yourgroups, o=example.com
Mapeamento de Grupos do Jazz para LDAP O mapeamento entre grupos do Jazz e grupos do LDAP. Um grupo do Jazz pode ser mapeado para vários grupos do LDAP. Os grupos do LDAP devem ser separados por um ponto-e-vírgula. Por exemplo, JazzAdmins=LDAPAdmins1;LDAPAdmins2 mapeia o grupo JazzAdmins para LDAPAdmins1 e LDAPAdmins2. O Jazz Team Server para System z define 4 grupos para mapeamento:
  • JazzAdmins =[Grupo LDAP para administradores do Jazz]
  • JazzUsers =[Grupo LDAP para usuários do Jazz]
  • JazzDWAdmins =[Grupo LDAP para Jazz Data Warehouse Admin]
  • JazzGuests =[Grupo LDAP para o convidado do Jazz]
Por exemplo, JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD .
Propriedade do Nome do Grupo A Propriedade LDAP que representa o nome dos grupos do Jazz no registro LDAP. Por exemplo, cn. Isto é usado na consulta para recuperar consultar um grupo LDAP. Para recuperar um grupo LDAP, uma consulta usa uma combinação do DN de grupo Base e da Propriedade de Nome do Grupo.
Propriedade do Membro do Grupo A Propriedade LDAP que representa os membros de um grupo no registro LDAP. Por exemplo, uniquemember.

Processo de Instalação de Configuração LDAP

Para configurar a conexão LDAP e importar usuários seguem estas etapas:
  1. Pare o servidor.
  2. Se tiver tentado instalar anteriormente seu servidor LDAP, faça backup do arquivo JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Abra o arquivo JazzInstallDir/jazz/server/tomcat/conf/server.xml para edição e remova o comentário da tag de região a seguir:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Salve o arquivo e reinicie o servidor.
  5. Abra uma janela do navegador da Web e vá para https://localhost:9443/jazz/setup.
  6. Efetue login com ADMIN/ADMIN (tanto o nome de usuário quanto a senha fazem diferenciação entre maiúsculas e minúsculas).
  7. Clique no botão Configuração Customizada.
  8. Clique em Avançar até atingir a página 5, Configurar Registro do Usuário.
  9. Na seção da Etapa 1 sob Tipo, selecione o botão de opções Banco de Dados do Usuário do Tomcat.
  10. Sob a Etapa 3, selecione a caixa de opção para Desativar acesso ADMIN padrão.
  11. Sob a Etapa 4, selecione a caixa de opção de licença Rational Team Concert - Desenvolvedor.
  12. Clique em Avançar para criar primeiro este usuário.
  13. Clique em Anterior para voltar para a página 5, Configurar Registro do Usuário.
  14. Sob a Etapa 1, selecione o botão de opções LDAP.
  15. Preencha os campos na Seção 2. Para obter informações adicionais, consulte Compreendendo os Parâmetros de Configuração do LDAP.
  16. Encerre o servidor.
  17. Configurar o Contêiner de Web para LDAP em Apache Tomcat.
  18. Reinicie o servidor.
  19. Abra uma janela do navegador da Web e vá para https://localhost:9443/jazz/admin.
  20. Efetue login com o ID do usuário que você criou para testar sua conexão.

Configurar o Contêiner de Web para LDAP em Apache Tomcat

Para obter informações adicionais sobre a configuração do Apache Tomcat para LDAP, consulte os links relacionados a seguir. Para configurar o contêiner de Web para LDAP em Apache Tomcat, sigas as etapas abaixo:
  1. Abra o arquivo JazzInstallDir/jazz/server/tomcat/conf/server.xml para edição e comente a seguinte tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Inclua a tag a seguir ao OID (Oracle Internet Directory):
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Inclua a tag a seguir ao Microsoft® Active Directory:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Abra o arquivo JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml para edição e faça o link e mapeie as referências de funções de segurança nas funções de segurança:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Anexo
    Se os nomes de seus Grupos LDAP são os mesmos que as funções padrão do Jazz
    você não precisa incluir as seguintes tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[Grupo LDAP para Jazz Admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[Grupo LDAP para para Jazz Admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[Grupo LDAP para Jazz Admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[Grupo LDAP para Jazz Admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Use as tags a seguir para declarar grupos LDAP como funções de segurança:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    
    <!-- Anexo
    Se os nomes de seus Grupos LDAP são os mesmos que as funções padrão do Jazz
    você não precisa incluir as seguintes tags
    -->
    <role-name>[Grupo LDAP para Jazz Admins]</role-name>
    <role-name>[Grupo LDAP para Jazz Data Warehouse Admins]</role-name>
    <role-name>[Grupo LDAP para Jazz Guests]</role-name>
    <role-name>[Grupo LDAP para Jazz Users]</role-name>
    <!-- Fim do anexo -->
    </security-role>
    <!-- ... -->
    </web-app>
    Use as tags a seguir para atualizar a seção de restrição de segurança:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    
    <!-- Anexo
    Se os nomes de seus Grupos LDAP são os mesmos que as funções padrão do Jazz
    você não precisa incluir as seguintes tags
    -->
    
    <role-name>[Grupo LDAP para Jazz Admins]</role-name>
    <role-name>[Grupo LDAP para Jazz Data Warehouse Admins]</role-name>
    <role-name>[Grupo LDAP para Jazz Guests]</role-name>
    <role-name>[Grupo LDAP para Jazz Users]</role-name>
    <!-- Fim do anexo -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Repita o mesmo anexo em cada restrição de segurança que referencia um grupo do Jazz :
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Anexo -->
    <role-name>[Grupo LDAP para Jazz Admins]</role-name>
    <!-- Fim do anexo -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>