RTCz: Benutzer mit LDAP (Lightweight Directory Access Protocol) verwalten

Diese Informationen unterstützen Sie bei der Konfiguration Ihrer LDAP-Registry zur Verwaltung von Benutzern.

Wenn Sie beabsichtigen, eine LDAP-Registry mit dem Jazz Team Server for System z zu verwenden, müssen Sie Apache Tomcat oder WebSphere Application Server für die Verwendung einer LDAP-Registry zur Authentifizierung der Benutzer konfigurieren.

Führen Sie die folgenden Tasks aus, um LDAP für die Arbeit mit Jazz Team Server for System z zu konfigurieren:
  1. Informationen zu den LDAP-Konfigurationsparametern.
  2. Konfigurationsprozess für die LDAP-Konfiguration.
  3. Web-Container für LDAP in Apache Tomcat konfigurieren.
    Anmerkung: Bei Angabe der Benutzeridentität für Jazz Team Server for System z muss die Groß-/Kleinschreibung beachtet werden. Wenn Sie LDAP zur Benutzerverwaltung verwenden, inaktivieren Sie die Option zur Nichtbeachtung der Groß-/Kleinschreibung. Beraten Sie sich mit Ihrem Serveradministrator oder lesen Sie in der Produktdokumentation nach, um sicherzustellen, dass für die Einstellungen die Groß-/Kleinschreibung beachtet wird.
  4. Konfigurieren Sie WebSphere Application Server mit dem mit LDAP-Realm.
  5. Erstellen Sie einen Erstbenutzer. Dieser Benutzer ist der Erstadministrator von Jazz Team Server for System z.
  6. Verwenden Sie die LDAP-Synchronisationstask.
  7. Verwenden Sie den Installationsassistenten, um Jazz Team Server for System z für die Verwendung von LDAP zu konfigurieren.
  8. Importieren Sie die Benutzer.

Informationen zu den LDAP-Konfigurationsparametern

Tabelle 1. LDAP-Parameter und Beschreibungen
Parameter Wertbeschreibung
LDAP-Registryposition Die URL-Adresse, die auf den LDAP-Server verweist. Beispiel: 'ldap://ldap.example.com:389'.
Benutzername Der Benutzername zur Anmeldung an diesem LDAP-Server. Für manche LDAP-Server ist eine anonyme Anmeldung mit Kennwort zulässig. In diesem Fall ist das Feld für den Parameter leer.
Kennwort Das Kennwort, das dem Benutzernamen zugeordnet ist.
Basis-DN für Benutzer Die Suchbasis gibt an, an welcher Position in der Hierarchie die Suche nach Benutzern beginnt. Beispiel: "o=unternehmen,l=ort,c=land"
Zuordnung von Benutzereigenschaftsnamen Die Zuordnung von Namen für Jazz-Benutzereigenschaften zu Attributnamen von LDAP-Registry-Einträgen. Sie müssen die folgenden Zuordnungen definieren:
  • userId =[LDAP-Benutzer-ID]
  • name =[LDAP-Benutzername]
  • emailAddress =[E-Mail des LDAP-Benutzers]

Mit der Eigenschaft 'Benutzer-ID' kann die Benutzer-ID angegeben werden, die zur Anmeldung eines Benutzers am System verwendet wird. Die Eigenschaft 'Name' wird zur Wiedergabe des Namens in der Benutzerschnittstelle verwendet.

Beispiel: userId=mail,name=cn,emailAddress=mail

Basis-DN für Gruppen Diese Suchbasis gibt an, an welcher Stelle der Hierarchie mit der Suche nach Gruppennamen begonnen werden soll. Beispiel: ou=memberlist,ou=yourgroups,o=example.com
Jazz-LDAP-Gruppenzuordnung Die Zuordnung zwischen Jazz-Gruppen und LDAP-Gruppen. Eine Jazz-Gruppe kann mehreren LDAP-Gruppen zugeordnet werden. Die LDAP-Gruppen müssen durch ein Semikolon voneinander getrennt werden. Beispiel: 'JazzAdmins=LDAPAdmins1;LDAPAdmins2' ordnet die Gruppe 'JazzAdmins' den LDAP-Gruppen 'LDAPAdmins1' und 'LDAPAdmins2' zu. Jazz Team Server for System z definiert vier Gruppen, die für die Zuordnung verwendet werden können:
  • JazzAdmins =[LDAP-Gruppe für Jazz-Administratoren]
  • JazzUsers =[LDAP-Gruppe für Jazz-Benutzer]
  • JazzDWAdmins =[LDAP-Gruppe für Jazz-Data-Warehouse-Administratoren]
  • JazzGuests =[LDAP-Gruppe für Jazz-Gäste]
Beispiel: JazzAdmins= IhreGruppeA, JazzUsers= IhreGruppeB, JazzDWAdmins= IhreGruppeC, JazzGuests= IhreGruppeD.
Gruppennameneigenschaft Die LDAP-Eigenschaft, die den Namen der Jazz-Gruppen in der LDAP-Registry darstellt. Beispiel: cn. Dies wird in einer Abfrage zum Abrufen einer LDAP-Gruppe verwendet. Zum Abrufen einer LDAP-Gruppe wird in der Abfrage eine Kombination aus dem Basis-DN der Gruppe und der Gruppennameneigenschaft verwendet.
Gruppenmitgliedereigenschaft Die LDAP-Eigenschaft, die die Mitglieder einer Gruppe in der LDAP-Registry darstellt. Beispiel: uniquemember.

Konfigurationsprozess für die LDAP-Konfiguration

Gehen Sie wie folgt vor, um eine LDAP-Verbindung zu konfigurieren und Benutzer zu importieren:
  1. Stoppen Sie den Server.
  2. Wenn Sie vorher versucht haben, den LDAP-Server zu installieren, sichern Sie die Datei 'Jazz-Installationsverzeichnis/jazz/server/tomcat/conf/server.xml'.
  3. Öffnen Sie die Datei 'Jazz-Installationsverzeichnis/jazz/server/tomcat/conf/server.xml' zum Bearbeiten und entfernen Sie die Kommentarzeichen für den folgende Realm-Tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Speichern Sie die Datei und starten Sie den Server erneut.
  5. Öffnen Sie ein Web-Browser-Fenster und wechseln Sie zu https://localhost:9443/jazz/setup.
  6. Melden Sie sich unter Verwendung von ADMIN/ADMIN (sowohl für den Benutzernamen als auch für das Kennwort muss die Groß-/Kleinschreibung beachtet werden) an.
  7. Klicken Sie auf die Registerkarte Angepasste Konfiguration.
  8. Klicken Sie auf Weiter, bis Sie Seite 5, Benutzerregistry konfigurieren, erreichen.
  9. Wählen Sie im Abschnitt 'Schritt 1' unter Typ das Optionsfeld Tomcat-Benutzerdatenbank aus.
  10. Wählen Sie unter 'Schritt 3' das Markierungsfeld für ADMIN-Standardzugriff inaktivieren aus.
  11. Wählen Sie unter 'Schritt 4' das Markierungsfeld für die Lizenz Rational Team Concert - Developer aus.
  12. Klicken Sie auf Weiter, um den ersten Benutzer zu erstellen.
  13. Klicken Sie auf Zurück, bis Sie Seite 5, Benutzerregistry konfigurieren, erreichen.
  14. Wählen Sie unter 'Schritt 1' das Optionsfeld LDAP aus.
  15. Machen Sie in den Feldern in Abschnitt 2 die entsprechenden Angaben. Weitere Informationen hierzu finden Sie in den Informationen zu den LDAP-Konfigurationsparametern.
  16. Fahren Sie den Server herunter.
  17. Web-Container für LDAP in Apache Tomcat konfigurieren.
  18. Starten Sie den Server erneut.
  19. Öffnen Sie ein Web-Browser-Fenster und wechseln Sie zu https://localhost:9443/jazz/admin.
  20. Melden Sie sich mit der Benutzer-ID an, die Sie zum Testen der Verbindung erstellt haben.

Web-Container für LDAP in Apache Tomcat konfigurieren

Weitere Informationen zur Konfiguration von Apache Tomcat für LDAP finden Sie unter den unten folgenden Links. Gehen Sie wie folgt vor, um den Web-Container für LDAP in Apache Tomcat zu konfigurieren:
  1. Öffnen Sie die Datei 'Jazz-Installationsverzeichnis/jazz/server/tomcat/conf/server.xml' zum Bearbeiten und setzen Sie Kommentarzeichen für den folgenden Tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Fügen Sie den folgenden Tag für Oracle Internet Directory (OID) hinzu:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Fügen Sie den folgenden Tag für Microsoft® Active Directory hinzu:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Öffnen Sie die Datei 'Jazz-Installationsverzeichnis/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml' zum Bearbeiten und verlinken Sie die Verweise für die Sicherheitsaufgabenbereiche mit den Sicherheitsaufgabenbereichen:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    Wenn die Namen Ihrer LDAP-Gruppen den Standard-Jazz-Rollen entsprechen,
    müssen die folgenden Tags nicht hinzugefügt werden.
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Verwenden Sie die folgenden Tags zum Deklarieren der LDAP-Gruppen als Sicherheitsaufgbenbereiche:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    
    <!-- Addendum
    Wenn die Namen Ihrer LDAP-Gruppen den Standard-Jazz-Rollen entsprechen,
    müssen die folgenden Tags nicht hinzugefügt werden.
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <!-- Ende des Addendums -->
    </security-role>
    <!-- ... -->
    </web-app>
    Verwenden Sie die folgenden Tags zum Aktualisieren des Abschnitts 'security-constraint':
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    
    <!-- Addendum
    Wenn die Namen Ihrer LDAP-Gruppen den Standard-Jazz-Rollen entsprechen,
    müssen die folgenden Tags nicht hinzugefügt werden.
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <!-- Ende des Addendums -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Repeat the same addendum on each security-constraint referencing a Jazz group:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- Ende des Addendums -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>