Gestione degli utenti con LDAP (Lightweight Directory Access Protocol)

Queste informazioni aiutano a configurare il registro LDAP per la gestione degli utenti.

Se si pensa di utilizzare un registro LDAP con il Jazz Team Server, è necessario configurare Apache Tomcat o WebSphere Application Server per utilizzare un registro LDAP per l'autenticazione degli utenti.

Per configurare LDAP affinché funzioni con Jazz Team Server, seguire le attività di seguito riportate:
  1. Comprensione dei parametri di configurazione LDAP.
  2. Processo di impostazione della configurazione LDAP.
  3. Configurare il contenitore Web per LDAP in Apache Tomcat.
    Nota: L'identità dell'utente Jazz Team Server è sensibili al maiuscolo/minuscolo. Quando si utilizza LDAP per la gestione dell'utente, disattivare l'opzione sensibile al maiuscolo/minuscolo. Lavorare con l'amministratore del server o consultare la documentazione del prodotto per assicurare che le impostazioni siano sensibili al maiuscolo/minuscolo.
  4. Configurare WebSphere Application Server con il realm LDAP.
  5. Creare un utente iniziale. Questo utente è l'amministratore Jazz Team Server iniziale.
  6. Utilizzo dell'attività LDAP di sincronizzazione.
  7. Utilizzare la procedura guidata di impostazione per configurare il Jazz Team Server affinché utilizzi LDAP.
  8. Importare gli utenti.

Comprensione dei parametri di configurazione LDAP

Tabella 1. Parametri e descrizioni LDAP
Parametro Descrizione valore
Ubicazione registro LDAP L'URL che fa riferimento al server LDAP. ldap://ldap.example.com:389
Nome utente Il nome utente per accedere a questo server LDAP. Alcuni server LDAP consento l'accesso e la password anonimi. In questo caso, questo parametro è vuoto.
Password La password associata al nome utente.
DN utente di base La base della ricerca indica dove iniziare a cercare l'utente nella gerarchia. Ad esempio, "o=company,l=your city,c=your country"
Associazione nomi proprietà utente L'associazione dei nomi di proprietà dell'utente Jazz ai nomi dell'attributo della voce di registro LDAP. È necessario definire le seguenti associazioni:
  • userId =[LDAP user ID]
  • name =[LDAP user name]
  • emailAddress =[LDAP user e-mail]

La proprietà userid identifica l'ID utente utilizzato quando un utente accede al sistema. La proprietà name viene utilizzata per eseguire il rendering del nome nell'interfaccia utente.

Ad esempio, userId=mail,name=cn,emailAddress=mail

DN gruppo di base Questa base di ricerca indica dove iniziare a cercare i nomi del gruppo nella gerarchia, ad esempio, ou=memberlist,ou=yourgroups,o=example.com
Associazione Jazz al Gruppo LDAP L'associazione tra i gruppi Jazz e LDAP. Un gruppo Jazz può essere associato a più gruppi LDAP. I gruppi LDAP devono essere separati da un punto e virgola. Ad esempio, JazzAdmins=LDAPAdmins1;LDAPAdmins2 associa il gruppo JazzAdmins a LDAPAdmins1 e LDAPAdmins2. Jazz Team Server definisce cinque gruppi con cui associarsi:
  • JazzAdmins =[Gruppo LDAP per gli amministratori Jazz]
  • JazzUsers ==[Gruppo LDAP per gli utenti Jazz]
  • JazzDWAdmins =[=[Gruppo LDAP per Jazz Data Warehouse Admin]
  • JazzGuests =[=[Gruppo LDAP per il guest Jazz]
  • JazzProjectAdmins =[=[Gruppo LDAP per gli amministratori di progetto Jazz]
Ad esempio, JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD, JazzProjectAdmins= YourGroupE.
Proprietà nome gruppo La proprietà LDAP che rappresenta il nome dei gruppi Jazz nel registro LDAP. Ad esempio, cn. Questo viene utilizzato nella query per richiamare un gruppo LDAP. Per richiamare un gruppo LDAP, una query utilizza una combinazione del DN del gruppo di base e della Proprietà del nome del gruppo.
Proprietà membro del gruppo La proprietà LDAP che rappresenta i membri di un gruppo nel registro LDAP. Ad esempio, uniquemember.

Processo di impostazione della configurazione LDAP

Per configurare la connessione LDAP ed importare gli utente seguire le operazioni di seguito riportate:
  1. Arrestare il server.
  2. Se si è precedentemente provato ad installare il server LDAP, eseguire il backup del file JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Aprire il file JazzInstallDir/jazz/server/tomcat/conf/server.xml per modificare ed annullare il commento del seguente tag realm:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Salvare il file e riavviare il server.
  5. Aprire una finestra del browser Web ed andare all'indirizzo https://localhost:9443/jazz/setup.
  6. Accedere con ADMIN/ADMIN (sia il nome utente che la password sono sensibili al maiuscolo/minuscolo).
  7. Fare clic sul pulsante Impostazione personalizzata.
  8. Fare clic su Avanti fino a che non si arriva a pagina 5, Impostazione registro utente.
  9. Nella sezione del Passo 1 in Tipo, selezionare il pulsante di opzione Database utente Tomcat.
  10. Nel passo 3, selezionare la casella di spunta per Disattiva accesso ADMIN predefinito.
  11. Nel passo 4, Selezionare la casella di spunta per la licenza Rational Team Concert - Sviluppatore.
  12. Fare clic su Avanti per creare questo primo utente.
  13. Fare clic su Precedente per tornare alla pagina 5, Imposta registro utente.
  14. Nel Passo 1, selezionare il pulsante di opzione LDAP.
  15. Riempire i campi nella Sezione 2. Per ulteriori informazioni, consultare Comprensione dei parametri di configurazione LDAP.
  16. Arrestare il server.
  17. Configurare il contenitore Web per LDAP in Apache Tomcat.
  18. Riavviare il server.
  19. Aprire una finestra del browser Web ed andare all'indirizzo https://localhost:9443/jazz/admin.
  20. Accedere con l'ID utente creato per eseguire il test della connessione.

Configurare il contenitore Web per LDAP in Apache Tomcat

Per ulteriori informazioni sulla configurazione di Apache Tomcat per LDAP, consultare i link correlati di seguito riportati. Per configurare il contenitore Web per LDAP in Apache Tomcat seguire le operazioni di seguito riportate:
  1. Aprire il file JazzInstallDir/jazz/server/tomcat/conf/server.xml per modificare ed aggiungere commenti al seguente tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Aggiungere il seguente tag per OID (Oracle Internet Directory):
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Aggiungere il seguente tag per Microsoft Active Directory:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Aprire il file JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml per modificare e collegare e associare i riferimenti del ruolo di sicurezza ai ruoli di sicurezza:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    Se i nomi dei gruppi LDAP sono gli stessi dei ruoli Jazz predefiniti
    non è necessario aggiungere i seguenti tag
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Utilizzare i seguenti tag per dichiarare i gruppi LDAP come ruoli di sicurezza:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Se i nomi dei gruppi LDAP sono gli stessi dei ruoli Jazz predefiniti
    non è necessario aggiungere i seguenti tag
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- Fine Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    Utilizzare i seguenti tag per aggiornare la sezione relativa ai vincoli di sicurezza:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Se i nomi dei gruppi LDAP sono gli stessi dei ruoli Jazz predefiniti
    non è necessario aggiungere i seguenti tag
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- Fine Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Ripetere lo stesso addendum su ogni vincolo di sicurezza facente riferimento ad un gruppo Jazz:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- Fine addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Feedback