Benutzer mit Lightweight Directory Access Protocol (LDAP) verwalten

Die vorliegenden Informationen sollen Ihnen beim Konfigurieren Ihrer LDAP-Registry zum Verwalten von Benutzern helfen.

Wenn Sie beabsichtigen, eine LDAP-Registry mit Ihrem Jazz Team Server zu verwenden, müssen Sie Ihren Apache Tomcat-Server oder WebSphere Application Server für die Verwendung einer LDAP-Registry zum Authentifizieren von Benutzern konfigurieren.

Führen Sie die folgenden Schritte aus, um LDAP für Jazz Team Server zu konfigurieren:
  1. LDAP-Konfigurationsparameter verstehen.
  2. LDAP-Konfigurationsprozess.
  3. Web-Container für LDAP in Apache Tomcat konfigurieren.
    Anmerkung: Bei der Jazz Team Server-Benutzer-ID ist die Groß-/Kleinschreibung zu beachten. Wenn Sie bei der Benutzerverwaltung LDAP einsetzen, müssen Sie die Option für Groß-/Kleinschreibung aktivieren. Setzen Sie sich mit Ihrem Serveradministrator in Verbindung oder ziehen Sie die Produktdokumentation zu Rate. Stellen Sie auf jeden Fall sicher, dass bei den Einstellungen die Groß-/Kleinschreibung berücksichtigt wird.
  4. WebSphere Application Server mit LDAP-Realm konfigurieren.
  5. Erstbenutzer erstellen. Dieser Benutzer ist der ursprüngliche Jazz Team Server-Administrator.
  6. LDAP-Synchronisation verwenden.
  7. Installationsassistenten verwenden, um Jazz Team Server für die Verwendung von LDAP zu konfigurieren.
  8. Benutzer importieren.

LDAP-Konfigurationsparameter verstehen

Tabelle 1. LDAP-Parameter und Beschreibungen
Parameter Beschreibung des Werts
LDAP Registry Location URL, durch die auf Ihren LDAP-Server verwiesen wird. ldap://ldap.example.com:389
User Name Benutzername zum Anmelden an diesem LDAP-Server. Bei einigen LDAP-Servern ist eine anonyme Anmeldung mit Kennwort möglich. In diesem Fall bleibt dieser Parameter leer.
Password Kennwort zum Benutzernamen.
Base User DN Über die Suchbasis wird definiert, wo in der Hierarchie mit der Suche nach Benutzern begonnen werden soll. Beispiel: "o=company,l=your city,c=your country".
User Property Names Mapping Zuordnung von Jazz-Benutzereigenschaftsnamen zu Attributnamen für LDAP-Registry-Einträge. Sie müssen folgende Zuordnungen definieren:
  • userId =[LDAP-Benutzer-ID]
  • name =[LDAP-Benutzername]
  • emailAddress =[LDAP-Benutzer-E-Mail]

Über die Eigenschaft "userid" wird die Benutzer-ID angegeben, die für die Anmeldung eines Benutzers am System verwendet wird. Die Eigenschaft "name" dient der Bereitstellung des Namens in der Benutzerschnittstelle.

Beispiel: "userId=mail,name=cn,emailAddress=mail".

Base Group DN Über diese Suchbasis wird definiert, wo in der Hierarchie mit der Suche nach Gruppennamen begonnen werden soll (Beispiel: "ou=memberlist,ou=yourgroups,o=example.com").
Jazz to LDAP Group Mapping Zuordnung zwischen Jazz-Gruppen und LDAP-Gruppen. Eine Jazz-Gruppe kann mehreren LDAP-Gruppen zugeordnet werden. Die LDAP-Gruppen müssen durch ein Semikolon voneinander getrennt werden. Beispiel: Über "JazzAdmins=LDAPAdmins1;LDAPAdmins2" wird die Gruppe "JazzAdmins" den LDAP-Gruppen "LDAPAdmins1" und "LDAPAdmins2" zugeordnet. Für Jazz Team Server sind fünf Gruppen definiert, zu denen eine Zuordnung erfolgen kann:
  • JazzAdmins =[LDAP-Gruppe für Jazz-Administratoren]
  • JazzUsers =[LDAP-Gruppe für Jazz-Benutzer]
  • JazzDWAdmins =[LDAP-Gruppe für Jazz-Data-Warehouse-Administratoren]
  • JazzGuests =[LDAP-Gruppe für Jazz-Gäste]
  • JazzProjectAdmins =[LDAP-Gruppe für Jazz-Projektadministratoren]
Beispiel: "JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD, JazzProjectAdmins= YourGroupE".
Group Name Property LDAP-Eigenschaft zur Darstellung des Namens der Jazz-Gruppen in der LDAP-Registry. Beispiel: "cn". Wird in der Abfrage dazu verwendet, eine LDAP-Gruppe abzurufen. Zum Abrufen einer LDAP-Gruppe wird in einer Abfrage eine Kombination aus den beiden Parametern "Base Group DN" und "Group Name Property" verwendet.
Group Member Property LDAP-Eigenschaft zur Darstellung der Mitglieder einer Gruppe in der LDAP-Registry. Beispiel: "uniquemember".

LDAP-Konfigurationsprozess

Führen Sie die folgenden Schritte aus, um eine LDAP-Verbindung zu konfigurieren und Benutzer zu importieren:
  1. Stoppen Sie den Server.
  2. Wenn Sie zuvor gerade versucht haben, Ihren LDAP-Server zu installieren, führen Sie für die Datei jazz-installationsverzeichnis/jazz/server/tomcat/conf/server.xml eine Sicherung durch.
  3. Rufen Sie die Datei jazz-installationsverzeichnis/jazz/server/tomcat/conf/server.xml zur Bearbeitung auf und entfernen Sie bei der folgenden Realm-Kennung das Kommentarzeichen:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Sichern Sie die Datei und starten Sie den Server neu.
  5. Öffnen Sie ein Web-Browser-Fenster und navigieren Sie zu "https://localhost:9443/jazz/setup".
  6. Melden Sie sich mit ADMIN/ADMIN an. (Sowohl beim Benutzernamen als auch beim Kennwort muss die Groß-/Kleinschreibung beachtet werden.)
  7. Klicken Sie auf die Schaltfläche Custom Setup.
  8. Klicken Sie solange auf Next, bis die Seite 5 (Setup User Registry) angezeigt wird.
  9. Wählen Sie in Schritt 1 unter Type das Optionsfeld Tomcat User Database aus.
  10. Wählen Sie in Schritt 3 das Kontrollkästchen für Disable default ADMIN access aus.
  11. Wählen Sie in Schritt 4 das Kontrollkästchen für die Lizenz Rational Team Concert - Developer aus.
  12. Klicken Sie auf Next, um diesen ersten Benutzer zu erstellen.
  13. Klicken Sie auf Previous, um zur Seite 5 (Setup User Registry) zurückzukehren.
  14. Wählen Sie in Schritt 1 das Optionsfeld LDAP aus.
  15. Füllen Sie die Felder in Abschnitt 2 aus. Weitere Informationen hierzu finden Sie unter LDAP-Konfigurationsparameter verstehen.
  16. Schalten Sie den Server ab.
  17. Web-Container für LDAP in Apache Tomcat konfigurieren.
  18. Starten Sie den Server neu.
  19. Öffnen Sie ein Web-Browser-Fenster und navigieren Sie zu "https://localhost:9443/jazz/admin".
  20. Melden Sie sich mit der von Ihnen erstellten Benutzer-ID an, um die Verbindung zu testen.

Web-Container für LDAP in Apache Tomcat konfigurieren

Weitere Informationen zum Konfigurieren von Apache Tomcat für LDAP können Sie über die unten aufgeführten zugehörigen Links aufrufen. Führen Sie die folgenden Schritte aus, um den Web-Container für LDAP in Apache Tomcat zu konfigurieren:
  1. Rufen Sie die Datei jazz-installationsverzeichnis/jazz/server/tomcat/conf/server.xml zur Bearbeitung auf und versehen Sie die folgende Kennung mit einem Kommentarzeichen:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Fügen Sie die folgende Kennung für Oracle Internet Directory (OID) hinzu:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Fügen Sie die folgende Kennung für Microsoft Active Directory hinzu:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Rufen Sie die Datei jazz-installationsverzeichnis/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml zur Bearbeitung auf und nehmen Sie eine Verknüpfung/Zuordnung der Sicherheitsrollenreferenzen mit/zu den Sicherheitsrollen vor:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum:
    Wenn die Namen Ihrer LDAP-Gruppen mit den standardmäßigen Jazz-Rollen übereinstimmen, müssen Sie die folgenden Kennungen nicht einfügen: -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Verwenden Sie die folgenden Kennungen, um die LDAP-Gruppen als Sicherheitsrollen zu deklarieren:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum:
    Wenn die Namen Ihrer LDAP-Gruppen mit den standardmäßigen Jazz-Rollen übereinstimmen, müssen Sie die folgenden Kennungen nicht einfügen:
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- Addendumende -->
    </security-role>
    <!-- ... -->
    </web-app>
    Verwenden Sie die folgenden kennungen, um den Abschnitt mit den Integritätsbedingungen für die Sicherheit zu aktualisieren:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum:
    Wenn die Namen Ihrer LDAP-Gruppen mit den standardmäßigen Jazz-Rollen übereinstimmen, müssen Sie die folgenden Kennungen nicht einfügen:
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- Addendumende -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Wiederholen Sie dasselbe Addendum für alle Integritätsbedingungen für die Sicherheit, die sich auf eine Jazz-Gruppe beziehen:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- Addendumende -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Feedback