Lightweight Directory Access Protocol (LDAP) を使用したユーザーの管理

この情報は、ユーザーを管理するように LDAP レジストリーを構成するのに役立ちます。

LDAP レジストリーと Jazz™ Team Server の併用を計画している場合は、LDAP レジストリーを使用してユーザーを認証するように Apache Tomcat または WebSphere® Application Server を構成しなければなりません。

Jazz Team Server を処理するように LDAP を構成するには、以下のタスクに従います。
  1. LDAP 構成パラメーターに関する理解
  2. LDAP 構成セットアップ・プロセス
  3. Apache Tomcat での LDAP 用の Web コンテナーの構成
    注: Jazz Team Server のユーザー ID には大/小文字の区別があります。ユーザー管理に LDAP を使用する場合は、大/小文字を区別しないオプションをオフにしてください。サーバー管理者と共に作業するか、製品資料を参照して、大/小文字を区別する設定になっていることを確認してください。
  4. LDAP レルムを使用した WebSphere Application Server の構成
  5. 初期ユーザーの作成。このユーザーは、Jazz Team Server の初期管理者です。
  6. LDAP 同期化タスクの使用
  7. セットアップ・ウィザードを使用した、LDAP を使用するための Jazz Team Server の構成
  8. ユーザーのインポート

LDAP 構成パラメーターに関する理解

表 1. LDAP パラメーターと説明
パラメーター 値の説明
LDAP レジストリーの場所 LDAP サーバーを参照する URL。ldap://ldap.example.com:389。
ユーザー名 この LDAP サーバーにログインするユーザー名。匿名ログインおよびパスワードを許可する LDAP サーバーもあります。この場合、このパラメーターはブランクです。
パスワード ユーザー名に関連付けられているパスワード。
ベース・ユーザー DN この検索ベースは、ユーザーの検索を開始する階層内の場所を示します。例えば、"o=company,l=your city,c=your country" のようにします。
ユーザー・プロパティー名マッピング Jazz ユーザー・プロパティー名の LDAP レジストリー項目属性名へのマッピング。以下のマッピングを定義しなければなりません。
  • userId =[LDAP ユーザー ID]
  • name =[LDAP ユーザー名]
  • emailAddress =[LDAP ユーザーの E メール]

userId プロパティーは、ユーザーがシステムにログインする際に使用するユーザー ID を識別します。name プロパティーは、ユーザー・インターフェース内での名前のレンダリングに使用します。

例えば、userId=mail,name=cn,emailAddress=mail のようにします。

ベース・グループ DN この検索ベースは、グループ名の検索を開始する階層内の場所を示します。例えば、ou=memberlist,ou=yourgroups,o=example.com のようにします。
Jazz から LDAP グループへのマッピング Jazz グループと LDAP グループの間のマッピング。1 つの Jazz グループを複数の LDAP グループにマップできます。LDAP グループはセミコロンで区切らなければなりません。例えば、JazzAdmins=LDAPAdmins1;LDAPAdmins2 は JazzAdmins グループを LDAPAdmins1 および LDAPAdmins2 にマップします。Jazz Team Server は、マップに使用する以下の 5 つのグループを定義しています。
  • JazzAdmins =[Jazz 管理者の LDAP グループ]
  • JazzUsers =[Jazz ユーザーの LDAP グループ]
  • JazzDWAdmins =[Jazz データウェアハウス管理の LDAP グループ]
  • JazzGuests =[Jazz ゲストの LDAP グループ]
  • JazzProjectAdmins =[Jazz プロジェクト管理者の LDAP グループ]
例えば、JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD, JazzProjectAdmins= YourGroupE のようにします。
グループ名プロパティー LDAP レジストリー内の Jazz グループの名前を表す LDAP プロパティー。例えば、cn のようにします。これは LDAP グループを取り出すために照会で使用されます。LDAP グループを取り出すには、ベース・グループ DN とグループ名プロパティーの組み合わせが照会で使用されます。
グループ・メンバー・プロパティー LDAP レジストリー内のグループのメンバーを表す LDAP プロパティー。例えば、uniquemember のようにします。

LDAP 構成セットアップ・プロセス

LDAP 接続を構成してユーザーをインポートするには、以下のステップに従います。
  1. サーバーを停止します。
  2. 以前に LDAP サーバーのインストールを試行した場合は、JazzInstallDir/jazz/server/tomcat/conf/server.xml ファイルのバックアップを取ります。
  3. JazzInstallDir/jazz/server/tomcat/conf/server.xml ファイルを開いて、以下のレルム・タグの編集とアンコメントを行います。
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. ファイルを保存し、サーバーを再始動します。
  5. Web ブラウザーのウィンドウを開いて、https://localhost:9443/jazz/setup にアクセスします。
  6. ADMIN/ADMIN を使用してログインします (ユーザー名とパスワードの両方とも大/小文字の区別があります)。
  7. 「カスタム・セットアップ (Custom Setup)」ボタンをクリックします。
  8. ページ 5、「ユーザー・レジストリーのセットアップ」になるまで「次へ」をクリックします。
  9. ステップ 1 セクションの「タイプ」の下で、「Tomcat ユーザー・データベース」ラジオ・ボタンを選択します。
  10. ステップ 3 の下で、「デフォルト ADMIN アクセスを使用不可に設定」のチェック・ボックスを選択します。
  11. ステップ 4 の下で、「Rational Team Concert - 開発者 (Rational Team Concert - Developer)」ライセンスのチェック・ボックスを選択します。
  12. 「次へ」をクリックして、この最初のユーザーを作成します。
  13. 「前へ」をクリックして、ページ 5、「ユーザー・レジストリーのセットアップ」に戻ります。
  14. ステップ 1 の下で、「LDAP」ラジオ・ボタンを選択します。
  15. セクション 2 のフィールドすべてに記入します。詳しくは、LDAP 構成パラメーターに関する理解を参照してください。
  16. サーバーをシャットダウンします。
  17. Apache Tomcat での LDAP 用の Web コンテナーの構成
  18. サーバーを再始動します。
  19. Web ブラウザーのウィンドウを開いて、https://localhost:9443/jazz/admin にアクセスします。
  20. 作成したユーザー ID を使用してログインし、接続をテストします。

Apache Tomcat での LDAP 用の Web コンテナーの構成

LDAP 用に Apache Tomcat を構成することに関する追加情報は、下記の関連リンクを参照してください。Apache Tomcat で LDAP 用に Web コンテナーを構成するには、以下のステップに従います。
  1. JazzInstallDir/jazz/server/tomcat/conf/server.xml ファイルを開いて、以下のタグの編集とコメント化を行います。
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Oracle Internet Directory (OID) に関する以下のタグを追加します。
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Microsoft Active Directory に関する以下のタグを追加します。
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml ファイルを開いて編集を行い、セキュリティー役割の参照をセキュリティー役割にリンクしてマップします。
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    以下のタグを使用して、LDAP グループをセキュリティー役割として宣言します。
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    以下のタグを使用して、security-constraint セクションを更新します。
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Jazz グループを参照している各 security-constraint で、同じ addendum を繰り返します。
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

フィードバック