Správa uživatelů pomocí LDAP (Lightweight Directory Access Protocol)

Tyto informace vám pomohou nakonfigurovat váš registr LDAP pro správu uživatelů.

Pokud máte v plánu používat se svým serverem Jazz Team Server registr LDAP, musíte nakonfigurovat svůj Apache Tomcat nebo WebSphere Application Server tak, aby používaly registr LDAP k ověřování uživatelů.

Chcete-li konfigurovat LDAP pro práci se serverem Jazz Team Server, postupujte takto:
  1. Základní informace o konfiguračních parametrech LDAP.
  2. Nastavení konfigurace LDAP.
  3. Konfigurace modulu Web container pro LDAP na serveru Apache Tomcat.
    Poznámka: Identita uživatele serveru Jazz Team Server rozlišuje malá a velká písmena. Při použití LDAP ke správě uživatelů vypněte volbu nerozlišování velkých a malých písmen. Spolupracujte s administrátorem serveru nebo si prostudujte dokumentaci produktu, abyste se ujistili, že nastavení rozlišují malá a velká písmena.
  4. Konfigurujte server WebSphere Application Server pomocí sféry LDAP.
  5. Vytvořte počátečního uživatele. Tento uživatel je počátečním administrátorem serveru Jazz Team Server.
  6. Použití úlohy synchronizace LDAP.
  7. Pomocí průvodce nastavením konfigurujte serverJazz Team Server pro použití LDAP.
  8. Importujte uživatele.

Základní informace o konfiguračních parametrech LDAP

Tabulka 1. Parametry LDAP a popisy
Parametr Popis hodnoty
Umístění registru LDAP Adresa URL, která odkazuje na váš server LDAP. ldap://ldap.example.com:389
Jméno uživatele Jméno uživatele pro přihlášení k tomuto serveru LDAP. Některé servery LDAP povolují anonymní přihlášení a heslo. V takovém případě je tento parametr prázdný.
Heslo Heslo přidružené k tomuto jménu uživatele.
Základní DN uživatele Vyhledávací báze označuje, kde v hierarchii začít s hledáním uživatelů. Například: "o=company,l=your city,c=your country"
Mapování názvů uživatelských vlastností Mapování názvů uživatelských vlastností platformy Jazz na názvy atributů položek registru LDAP. Je třeba definovat následující mapování:
  • UserId =[ID uživatele LDAP].
  • Name =[jméno uživatele LDAP].
  • EmailAddress =[e-mailová adresa uživatele LDAP].

Vlastnost userid identifikuje ID uživatele použité pro jeho přihlášení do systému. Vlastnost name slouží k vykreslení jména v uživatelském rozhraní.

Například userId=mail,name=cn,emailAddress=mail

Základní DN skupiny Tato vyhledávací báze označuje, kde v hierarchii začít s hledáním názvů skupin, například ou=memberlist,ou=yourgroups,o=example.com
Mapování skupin Jazz na skupiny LDAP Mapování mezi skupinami platformy Jazz a skupinami LDAP. Jednu skupinu Jazz lze mapovat na více skupin LDAP. Jednotlivé skupiny LDAP je třeba oddělit středníkem. Například JazzAdmins=LDAPAdmins1;LDAPAdmins2 mapuje skupinu JazzAdmins na skupiny LDAPAdmins1 a LDAPAdmins2. Server Jazz Team Server definuje pět skupin pro mapování:
  • JazzAdmins =[Skupina LDAP pro administrátory platformy Jazz].
  • JazzUsers =[Skupina LDAP pro uživatele platformy Jazz].
  • JazzDWAdmins =[Skupina LDAP pro administrátora datového skladu Jazz].
  • JazzGuests =[Skupina LDAP pro hosta platformy Jazz].
  • JazzProjectAdmins =[Skupina LDAP pro administrátory projektu Jazz].
Například JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD, JazzProjectAdmins= YourGroupE.
Vlastnost Název skupiny Vlastnost LDAP představující název skupin Jazz v registru LDAP. Například cn. Umožňuje v dotazu získat skupinu LDAP. Chcete-li získat skupinu LDAP, použije dotaz kombinaci vlastností Základní DN skupiny a Název skupiny.
Vlastnost Člen skupiny Vlastnost LDAP představující členy skupiny v registru LDAP. Například uniquemember.

Nastavení konfigurace LDAP

Chcete-li konfigurovat připojení LDAP a importovat uživatele, postupujte takto:
  1. Zastavte server.
  2. Pokud jste se v minulosti pokoušeli nainstalovat server LDAP, zálohujte soubor JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Otevřete soubor JazzInstallDir/jazz/server/tomcat/conf/server.xml pro úpravy a odstraňte značku komentáře u následující značky sféry:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Uložte soubor a restartujte server.
  5. Otevřete webový prohlížeč a přejděte na adresu https://localhost:9443/jazz/setup.
  6. Přihlaste se pomocí údajů ADMIN/ADMIN (uživatelské jméno i heslo rozlišují malá a velká písmena).
  7. Klepněte na tlačítko Vlastní instalace.
  8. Klepejte na tlačítko Další, dokud se nedostanete na stránku 5, Nastavení registru uživatelů.
  9. V sekci Krok 1 vyberte v nabídce Typ přepínač Databáze uživatelů Tomcat.
  10. V Kroku 3 vyberte zaškrtávací tlačítko Zakázat výchozí přístup uživatele ADMIN.
  11. V Kroku 4 vyberte zaškrtávací tlačítko licence vývojáře produktu Rational Team Concert.
  12. Klepnutím na tlačítko Další vytvořte tohoto prvního uživatele.
  13. Klepnutím na tlačítko Předchozí jděte zpátky na stránku 5, Nastavení registru uživatelů.
  14. V Kroku 1 vyberte přepínač LDAP.
  15. Vyplňte pole v Sekci 2. Další informace naleznete v části Základní informace o konfiguračních parametrech LDAP.
  16. Vypněte server.
  17. Konfigurace modulu Web container pro LDAP na serveru Apache Tomcat.
  18. Restartujte server.
  19. Otevřete webový prohlížeč a přejděte na adresu https://localhost:9443/jazz/admin.
  20. Přihlaste se pomocí vytvořeného ID uživatele a vyzkoušejte připojení.

Konfigurace modulu Web container pro LDAP na serveru Apache Tomcat

Další informace o konfiguraci Apache Tomcat pro LDAP viz související odkazy níže. Chcete-li konfigurovat modul Web container pro LDAP na serveru Apache Tomcat, postupujte takto:
  1. Otevřete soubor JazzInstallDir/jazz/server/tomcat/conf/server.xml pro úpravy a přidejte značku komentáře u následující značky:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Přidejte následující značku adresáři Oracle Internet Directory (OID):
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Přidejte následující značku adresáři Microsoft Active Directory:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Otevřete soubor JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml pro úpravy a propojte a mapujte odkazy rolí zabezpečení k rolím zabezpečení:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    Jsou-li názvy Skupin LDAP stejné jako výchozí role Jazz,
    není třeba přidávat následující značky
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Pomocí následujících značek deklarujte skupiny LDAP jako role zabezpečení:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Jsou-li názvy Skupin LDAP stejné jako výchozí role Jazz,
    není třeba přidávat následující značky
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    Pomocí následujících značek aktualizujte sekci omezení zabezpečení:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Jsou-li názvy Skupin LDAP stejné jako výchozí role Jazz,
    není třeba přidávat následující značky
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Opakujte stejný dodatek pro všechna omezení zabezpečení odkazující na skupinu Jazz:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Váš názor

Byla tato pomoc užitečná? Zpětnou vazbu můžete poskytnout na stránkách Jazz.net (registrace je požadována): Komentář na fóru nebo odeslat chybu