Gestionar usuarios con Lightweight Directory Access Protocol (LDAP)

Esta información le ayuda a configurar el registro de LDAP para gestionar usuarios.

Si planea utilizar un registro LDAP con Jazz Team Server, debe configurar Apache Tomcat o WebSphere Application Server para utilizar un registro LDAP para autenticar usuarios.

Para configurar LDAP para que funcione con Jazz Team Server, siga estas tareas:
  1. Comprensión de los parámetros de configuración de LDAP.
  2. Proceso de configuración de LDAP.
  3. Configure el contenedor web para LDAP en Apache Tomcat.
    Nota: La identidad del usuario de Jazz Team Server es sensible a las mayúsculas y minúsculas. Al utilizar LDAP para la gestión de usuarios, desactive la opción que no distingue entre mayúsculas y minúsculas. Trabaje con su administrador del servidor o consulte la documentación del producto para asegurarse de que los valores son sensible a las mayúsculas y minúsculas.
  4. Configure WebSphere Application Server con el dominio de LDAP.
  5. Crear un usuario inicial. Dicho usuario es el administrador de Jazz Team Server inicial.
  6. Utilización de la tarea de sincronización LDAP.
  7. Utilizar el asistente de configuración para configurar Jazz Team Server a fin de utilizar LDAP.
  8. Importar los usuarios.

Comprensión de los parámetros de configuración de LDAP

Tabla 1. Parámetros y descripciones de LDAP
Parámetro Descripción de valores
Ubicación del registro de LDAP El URL al que hace referencia el servidor de LDAP. ldap://ldap.ejemplo.com:389
Nombre de usuario El nombre del usuario para iniciar sesión en este servidor de LDAP. Algunos servidores de LDAP permiten inicio de sesión y contraseña anónimos. En este caso, este parámetro está vacío.
Contraseña La contraseña asociada con el nombre de usuario.
DN de usuario base La base de búsqueda indica en qué lugar de la jerarquía comenzar a buscar los usuarios. Por ejemplo, "o=company,l=your city,c=your country"
Correlación de nombres de propiedades de usuarios La correlación de los nombres de propiedades de usuarios de Jazz a nombres de atributos de entradas de registro de LDAP. Debe definir las siguientes correlaciones:
  • userId =[ID de usuario LDAP]
  • name =[nombre de usuario LDAP]
  • emailAddress =[correo electrónico de usuario LDAP]

La propiedad de userid identifica el ID del usuario que se utiliza cuando un usuario inicia sesión en el sistema. La propiedad name se utiliza para representar el nombre en la interfaz de usuario.

Por ejemplo, userId=mail,name=cn,emailAddress=mail

DN de grupo base Esta base de búsqueda indica en qué lugar de la jerarquía comenzar a buscar nombres de grupos, como por ejemplo ou=memberlist,ou=yourgroups,o=example.com
Jazz con Correlación de grupo LDAP La correlación entre grupos de Jazz y grupos de LDAP. Un grupo de Jazz puede correlacionarse en varios grupos de LDAP. Los grupos de LDAP deben separarse por un punto y coma. Por ejemplo, JazzAdmins=LDAPAdmins1;LDAPAdmins2 correlaciona el grupo JazzAdmins a LDAPAdmins1 y LDAPAdmins2. Jazz Team Server define cinco grupos para correlacionar con:
  • JazzAdmins =[Grupo LDAP para administradores de Jazz]
  • JazzUsers =[Grupo LDAP para usuarios de Jazz]
  • JazzDWAdmins =[Grupo LDAP para administrador de depósito de datos de Jazz]
  • JazzGuests =[Grupo LDAP para invitado de Jazz]
  • JazzProjectAdmins =[Grupo LDAP para administradores de proyecto de Jazz]
Por ejemplo, JazzAdmins= Su grupo A, JazzUsers= Su grupo B, JazzDWAdmins= Su grupo C, JazzGuests= Su grupo D, JazzProjectAdmins= Su grupo E.
Propiedad de nombre de grupo La propiedad de LDAP que representa el nombre de los grupos de Jazz en el registro de LDAP. Por ejemplo, cn. Esto se utiliza en la consulta para recuperar un grupo LDAP. Para recuperar un grupo LDAP, una consulta utilizará una combinación del DN de grupo base y la Propiedad de nombre de grupo.
Propiedad de miembro de grupo La propiedad de LDAP que representa a los miembros de un grupo en el registro de LDAP. Por ejemplo, uniquemember.

Proceso de configuración de LDAP

Para configurar la conexión de LDAP e importar usuarios, siga estos pasos:
  1. Detenga el servidor.
  2. Si ha intentado instalar previamente el servidor de LDAP, realice una copia de seguridad del archivo JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Abra el archivo JazzInstallDir/jazz/server/tomcat/conf/server.xml para editarlo y elimine el comentario de la siguiente etiqueta de dominio:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Guarde el archivo y reinicie el servidor.
  5. Abra una ventana de navegador web y vaya a https://localhost:9443/jazz/setup.
  6. Inicie sesión con ADMIN/ADMIN (tanto el nombre de usuario como la contraseña son sensibles a las mayúsculas y minúsculas).
  7. Pulse el botón Configuración personalizada.
  8. Pulse Siguiente hasta que alcance la página 5, Configuración del registro de usuarios.
  9. En la sección del Paso 1 en Tipo, seleccione el botón de selección Base de datos de usuarios Tomcat.
  10. En el Paso 3, seleccione el recuadro de selección para Inhabilitar acceso ADMIN predeterminado.
  11. En el Paso 4, seleccione el recuadro de selección para la licencia de Rational Team Concert - Desarrollador.
  12. Pulse Siguiente para crear este primer usuario.
  13. Pulse Anterior para volver a la página 5, Configuración del registro de usuarios.
  14. En el Paso 1, seleccione el botón de selección LDAP.
  15. Rellene los campos de la Sección 2. Para obtener más información, consulte Comprensión de los parámetros de configuración de LDAP.
  16. Cierre el servidor.
  17. Configure el contenedor web para LDAP en Apache Tomcat.
  18. Reinicie el servidor.
  19. Abra una ventana de navegador web y vaya a https://localhost:9443/jazz/admin.
  20. Inicie sesión con el ID de usuario que creó para probar la conexión.

Configure el contenedor web para LDAP en Apache Tomcat

Para obtener información adicional sobre la configuración de Apache Tomcat para LDAP, consulte los enlaces relacionados a continuación. Para configurar el contenedor web para LDAP en Apache Tomcat, siga estos pasos:
  1. Abra el archivo JazzInstallDir/jazz/server/tomcat/conf/server.xml para editarlo y añada un comentario en la etiqueta siguiente:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Añada la etiqueta siguiente para Oracle Internet Directory (OID):
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Añada la etiqueta siguiente para Microsoft Active Directory:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Abra el archivo JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml para editarlo y enlace y correlacione las referencias de los roles de seguridad a los roles de seguridad:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Utilice las etiquetas siguientes para declarar los grupos de LDAP como roles de seguridad:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    Utilice las etiquetas siguientes para actualizar la sección de restricción de seguridad:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Repita el mismo añadido en cada restricción de seguridad que haga referencia a un grupo de Jazz:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Comentarios