Gestion des utilisateurs avec le protocole LDAP (Lightweight Directory Access Protocol)

Ces informations permettent de configurer votre registre LDAP pour gérer des utilisateurs.

Si vous prévoyez d'utiliser un registre LDAP avec votre Jazz Team Server, vous devez configurer Apache Tomcat ou WebSphere Application Server pour utiliser un registre LDAP afin d'authentifier les utilisateurs.

Pour configurer LDAP pour qu'il fonctionne avec Jazz Team Server, effectuez les tâches suivantes :
  1. Présentation des paramètres de configuration LDAP.
  2. Procédure de configuration de LDAP.
  3. Configurez le conteneur Web pour LDAP dans Apache Tomcat.
    Remarque : L'identité de l'utilisateur de Jazz Team Server est sensible à la casse. Lors de l'utilisation de LDAP pour la gestion des utilisateurs, désactivez l'option d'insensibilité à la casse. Collaborez avec l'administrateur de serveur ou consultez la documentation du produit pour vous assurer que les paramètres sont sensibles à la casse.
  4. Configurez WebSphere Application Server avec le domaine LDAP.
  5. Créez un utilisateur initial. Cet utilisateur est l'administrateur initial de Jazz Team Server.
  6. Utilisation de la tâche de synchronisation LDAP.
  7. Utilisez l'assistant d'installation de sorte qu'il configure Jazz Team Server pour utiliser LDAP.
  8. Importez les utilisateurs.

Présentation des paramètres de configuration LDAP

Tableau 1. Paramètres LDAP et descriptions
Paramètre Description de la valeur
Emplacement du registre LDAP URL qui fait référence à votre serveur LDAP (ldap://ldap.example.com:389)
Nom d'utilisateur Nom d'utilisateur permettant de se connecter à ce serveur LDAP. Certains serveurs LDAP autorisent les noms de connexion et les mots de passe anonymes. Dans ce cas, aucune valeur n'est attribuée à ce paramètre.
Mot de passe Mot de passe associé au nom d'utilisateur.
Nom de domaine utilisateur de base Base de recherche indiquant à quel endroit commencer la recherche des utilisateurs dans la hiérarchie Par exemple, "o=société,l=ville,c=pays"
Mappage des noms de propriété utilisateur Mappage des noms de propriété utilisateur Jazz aux noms d'attribut d'entrée du registre LDAP. Vous devez définir les mappages suivants :
  • userID =[ID_utilisateur_LDAP]
  • name =[nom_utilisateur_LDAP]
  • emailAddress =[adresse_électronique_utilisateur_LDAP]

La propriété userid identifie l'ID utilisateur utilisé lorsqu'un utilisateur se connecte au système. La propriété name permet d'afficher le nom dans l'interface graphique. name in the user interface.

Par exemple : userId=mail,name=cn,emailAddress=mail

Nom de domaine du groupe de base Cette base de recherche indique à quel endroit de la hiérarchie commencer la recherche des noms de groupe (ou=liste_membres,ou=vos_groupes,o=exemple.com, par exemple)
Mappage de Jazz au groupe LDAP Mappage entre des groupes Jazz et des groupes LDAP. Un groupe Jazz peut être mappé à plusieurs groupes LDAP. Ces groupes doivent être séparés par un point-virgule. Par exemple : JazzAdmins=LDAPAdmins1;LDAPAdmins2 mappe le groupe JazzAdmins à LDAPAdmins1 et LDAPAdmins2. Jazz Team Server définit cinq groupes pour le mappage :
  • JazzAdmins =[Groupe LDAP des administrateurs Jazz]
  • JazzUsers =[Groupe LDAP des utilisateurs Jazz]
  • JazzDWAdmins =[Groupe LDAP de l'administrateur d'entrepôt de données Jazz]
  • JazzGuests =[Groupe LDAP de l'invité Jazz]
  • JazzProjectAdmins =[Groupe LDAP pour administrateurs de projets Jazz]
Par exemple, JazzAdmins= VotreGroupeA, JazzUsers= VotreGroupeB, JazzDWAdmins= VotreGroupeC, JazzGuests= VotreGroupeD, JazzProjectAdmins= VotreGroupeE.
Propriété du nom de groupe Propriété LDAP qui représente le nom des groupes Jazz dans le registre LDAP (cn, par exemple). Elle est utilisée dans la requête pour extraire un groupe LDAP. Pour extraire un groupe LDAP, une requête utilise une combinaison du nom distinctif du groupe de base et de la propriété de nom de groupe.
Propriété du membre du groupe Propriété LDAP qui représente les membres d'un groupe dans le registre LDAP (uniquemember, par exemple).

Procédure de configuration de LDAP

Pour configurer une connexion LDAP et importer des utilisateurs, procédez comme suit :
  1. Arrêtez le serveur.
  2. Si vous avez déjà essayé d'installer votre serveur LDAP, sauvegardez le fichier JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Ouvrez le fichier JazzInstallDir/jazz/server/tomcat/conf/server.xml pour l'éditer et supprimer la mise en commentaire de la balise de domaine suivante :
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Sauvegardez le fichier et redémarrez le serveur.
  5. Ouvrez une fenêtre de navigateur Web et accédez à https://localhost:9443/jazz/setup.
  6. Connectez-vous sous ADMIN/ADMIN (la casse du nom d'utilisateur et du mot de passe doit être respectée).
  7. Cliquez sur le bouton Configuration personnalisée.
  8. Cliquez sur Suivant jusqu'à ce que vous atteigniez la page 5, Configuration du registre d'utilisateurs.
  9. Dans la section Etape 1, sous Type, sélectionnez le bouton d'option Base de données utilisateur Tomcat.
  10. Sous Etape 3, cochez la case Désactiver l'accès ADMIN par défaut.
  11. Sous Etape 4, cochez la case de la licence Rational Team Concert - Développeur.
  12. Cliquez sur Suivant pour créer ce premier utilisateur.
  13. Cliquez sur Précédent pour retourner à la page 5, Configuration du registre d'utilisateurs.
  14. Sous Etape 1, sélectionnez le bouton d'option LDAP.
  15. Renseignez les zones de la section 2. Pour plus d'informations, voir Présentation des paramètres de configuration LDAP.
  16. Arrêtez le serveur.
  17. Configurez le conteneur Web pour LDAP dans Apache Tomcat.
  18. Redémarrez le serveur.
  19. Ouvrez une fenêtre de navigateur Web et accédez à https://localhost:9443/jazz/admin.
  20. Connectez-vous avec l'ID utilisateur que vous avez créé pour tester votre connexion.

Configurez le conteneur Web pour LDAP dans Apache Tomcat

Pour plus d'informations sur la configuration d'Apache Tomcat pour LDAP, voir les liens connexes ci-après. Pour configurer le conteneur Web pour LDAP dans Apache Tomcat, procédez comme suit :
  1. Ouvrez le fichier JazzInstallDir/jazz/server/tomcat/conf/server.xml pour l'éditer et mettre la balise suivante en commentaire :
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Ajoutez la balise suivante pour Oracle Internet Directory (OID) :
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Ajoutez la balise suivante pour Microsoft Active Directory :
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Ouvrez le fichier JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml pour l'éditer et mapper les références de rôle de sécurité aux rôles de sécurité :
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Annexe
    Si les noms de vos groupes LDAP correspondent aux rôles Jazz par défaut,
    vous n'avez pas besoin d'ajouter les balises suivantes
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[Groupe LDAP pour administrateurs Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[Groupe LDAP pour administrateurs Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[Groupe LDAP pour administrateurs Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[Groupe LDAP pour administrateurs Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[Groupe LDAP pour administrateurs Jazz]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Utilisez les balises suivantes pour déclarer les groupes LDAP comme rôles de sécurité :
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Annexe
    Si les noms de vos groupes LDAP correspondent aux rôles Jazz par défaut,
    vous n'avez pas besoin d'ajouter les balises suivantes
    -->
    <role-name>[Groupe LDAP pour administrateurs Jazz]</role-name>
    <role-name>[Groupe LDAP pour administrateurs Jazz Data Warehouse]</role-name>
    <role-name>[Groupe LDAP pour invités Jazz]</role-name>
    <role-name>[Groupe LDAP pour utilisateurs Jazz]</role-name>
    <role-name>[Groupe LDAP pour administrateurs de projets Jazz]</role-name>
    <!-- Fin de l'annexe -->
    </security-role>
    <!-- ... -->
    </web-app>
    Utilisez les balises suivantes pour mettre à jour la section security-constraint :
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Annexe
    Si les noms de vos groupes LDAP correspondent aux rôles Jazz par défaut,
    vous n'avez pas besoin d'ajouter les balises suivantes
    -->
    
    <role-name>[Groupe LDAP pour administrateurs Jazz]</role-name>
    <role-name>[Groupe LDAP pour administrateurs Jazz Data Warehouse]</role-name>
    <role-name>[Groupe LDAP pour invités Jazz]</role-name>
    <role-name>[Groupe LDAP pour utilisateurs Jazz]</role-name>
    <role-name>[Groupe LDAP pour administrateurs de projets Jazz]</role-name>
    <!-- Fin de l'annexe -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Répétez la même annexe sur chaque section security-constraint qui fait référence à un groupe Jazz :
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Annexe -->
    <role-name>[Groupe LDAP pour administrateurs Jazz]</role-name>
    <!-- Fin de l'annexe -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Commentaires en retour

Etes-vous satisfait ? Vous pouvez faire part de vos commentaires à l'adresse Jazz.net (enregistrement requis) : Commentaire dans les forums ou soumettre un bogue