RTCz:使用「輕量型目錄存取通訊協定 (LDAP)」來管理使用者

這項資訊可以協助您配置 LDAP 登錄來管理使用者。

如果您計劃搭配 Jazz Team Server for System z 來使用 LDAP 登錄,則必須將 Apache Tomcat 或 WebSphere® Application Server 配置成利用 LDAP 登錄來鑑別使用者。

如果要配置 LDAP 來搭配 Jazz Team Server for System z 運作,請遵循下列作業:
  1. 瞭解 LDAP 配置參數.
  2. LDAP 配置設定程序.
  3. 在 Apache Tomcat 中配置 LDAP 的 Web 儲存器.
    註: Jazz Team Server for System z 使用者身分有區分大小寫。當利用 LDAP 來管理使用者時,請關閉不區分大小寫選項。 請洽詢伺服器管理者或參閱產品文件,以確保設定會區分大小寫。
  4. 配置 WebSphere Application Server 以使用 LDAP 網域範圍
  5. 建立起始使用者。這個使用者是起始的 Jazz Team Server for System z 管理者。
  6. 使用 LDAP 同步化作業
  7. 使用設定精靈,將 Jazz Team Server for System z 配置成使用 LDAP。
  8. 匯入使用者

瞭解 LDAP 配置參數

表 1. LDAP 參數和說明
參數 值說明
LDAP 登錄位置 參照 LDAP 伺服器的 URL。ldap://ldap.example.com:389
使用者名稱 登入這部 LDAP 伺服器的使用者名稱。 某些 LDAP 伺服器接受匿名登入與密碼。在這個情況下,這個參數空白。
密碼 關聯於使用者名稱的密碼。
基本使用者 DN 搜尋基準指出從階層中的哪裡開始搜尋使用者。 例如 "o=company,l=your city,c=your country"
使用者內容名稱對映 Jazz™ 使用者內容名稱至 LDAP 登錄項目屬性名稱的對映。您必須定義下列對映:
  • userId =[LDAP user ID]
  • name =[LDAP user name]
  • emailAddress =[LDAP user e-mail]

userid 內容識別使用者登入系統時所用的使用者 ID。name 內容用來將名稱呈現在使用者介面中。

例如,userId=mail,name=cn,emailAddress=mail

基本群組 DN 這個搜尋基準指出從階層中的哪裡開始搜尋群組名稱,例如 ou=memberlist,ou=yourgroups,o=example.com
Jazz 至 LDAP 群組對映 Jazz 群組和 LDAP 群組之間的對映。 一個 Jazz 群組可以對映至多個 LDAP 群組。 各個 LDAP 群組必須用分號區隔。 例如,JazzAdmins=LDAPAdmins1;LDAPAdmins2 會將 JazzAdmins 群組對映至 LDAPAdmins1 和 LDAPAdmins2。 Jazz Team Server for System z 定義了 4 個相對映的群組:
  • JazzAdmins =[LDAP Group for Jazz admins]
  • JazzUsers =[LDAP Group for Jazz users]
  • JazzDWAdmins =[LDAP Group for Jazz Data Warehouse Admin]
  • JazzGuests =[LDAP Group for Jazz guest]
例如,JazzAdmins= YourGroupA、JazzUsers= YourGroupB、JazzDWAdmins= YourGroupC、JazzGuests= YourGroupD。
群組名稱內容 代表 LDAP 登錄中之 Jazz 群組名稱的 LDAP 內容。 例如,cn。此項在查詢中用來擷取 LDAP 群組。在擷取 LDAP 群組時,查詢會採用「基本群組 DN」與「群組名稱內容」組合。
群組成員內容 代表 LDAP 登錄中之群組成員的 LDAP 內容。 例如,uniquemember。

LDAP 配置設定程序

如果要配置 LDAP 連線,並匯入使用者,請遵循下列步驟:
  1. 停止伺服器。
  2. 如果您先前曾試著安裝 LDAP 伺服器,請備份 JazzInstallDir/jazz/server/tomcat/conf/server.xml 檔。
  3. 開啟 JazzInstallDir/jazz/server/tomcat/conf/server.xml 檔,以編輯和解除註解下列的網域範圍標籤:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 	resourceName="UserDatabase"
                 	digest="SHA-1"
                 	digestEncoding="UTF-8"/>
  4. 儲存檔案,並重新啟動伺服器。
  5. 開啟 Web 瀏覽器視窗,並移至 https://localhost:9443/jazz/setup。
  6. 以 ADMIN/ADMIN 登入(使用者名稱與密碼皆區分大小寫)。
  7. 按一下自訂設定按鈕。
  8. 下一步,直到抵達第 5 頁,設定使用者登錄
  9. 在「步驟 1」區段的類型底下,選取 Tomcat 使用者資料庫圓鈕。
  10. 在「步驟 3」底下,選取停用預設 ADMIN 存取權勾選框。
  11. 在「步驟 4」底下,選取 Rational Team Concert - 開發人員授權勾選框。
  12. 下一步,建立這第一位使用者。
  13. 上一步,回到第 5 頁,設定使用者登錄
  14. 在「步驟 1」底下,選取 LDAP 圓鈕。
  15. 填寫「區段 2」中的欄位。如需相關資訊,請參閱瞭解 LDAP 配置參數
  16. 關閉伺服器。
  17. 在 Apache Tomcat 中配置 LDAP 的 Web 儲存器.
  18. 重新啟動伺服器。
  19. 開啟 Web 瀏覽器視窗,並移至 https://localhost:9443/jazz/admin。
  20. 以您建立用來測試連線的使用者 ID 登入。

在 Apache Tomcat 中配置 LDAP 的 Web 儲存器

如需配置 Apache Tomcat 使用 LDAP 的其他資訊,請參閱以下的相關鏈結。如果要在 Apache Tomcat 中配置 LDAP 的 Web 儲存器,請遵循下列步驟:
  1. 開啟 JazzInstallDir/jazz/server/tomcat/conf/server.xml 檔,以編輯和註解下列標籤:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 	resourceName="UserDatabase"
                 	digest="SHA-1"
                 	digestEncoding="UTF-8"/>
  2. 若為「Oracle 網際網路目錄 (OID)」,請新增下列標籤:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    若為 Microsoft® Active Directory,請新增下列標籤:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. 開啟 JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml 檔進行編輯,將安全角色參照鏈結並對映至安全角色:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    使用下列標籤,將 LDAP 群組宣告為安全角色:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    使用下列標籤,來更新 security-constraint 區段:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    針對參照 Jazz 群組的每一個 security-constraint,重複相同的附錄:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

意見

以上說明對您有幫助嗎?您可以在 Jazz.net 網站中提供意見(需要登錄):在討論區中提供意見提交錯誤