Benutzer mit LDAP (Lightweight Directory Access Protocol) verwalten

Diese Informationen unterstützen Sie beim Konfigurieren der LDAP-Registry zur Verwaltung der Benutzer.

Wenn Sie beabsichtigen, eine LDAP-Registry mit dem Jazz-Team-Server zu verwenden, müssen Sie Apache Tomcat oder WebSphere Application Server für die Verwendung einer LDAP-Registry zur Authentifizierung der Benutzer konfigurieren.

Führen Sie die folgenden Tasks aus, um das LDAP für die Arbeit mit Jazz-Team-Server zu konfigurieren:
  1. Allgemeines über LDAP-Konfigurationsparameter.
  2. Konfigurationsprozess für die LDAP-Konfiguration.
  3. Web-Container für LDAP in Apache Tomcat konfigurieren.
    Anmerkung: Beim Angeben der Jazz-Team-Server-Benutzeridentität muss die Groß-/Kleinschreibung beachtet werden. Wenn LDAP für die Benutzerverwaltung verwendet wird, inaktivieren Sie die Option für die Nichtbeachtung der Groß-/Kleinschreibung. Wenden Sie sich an Ihren Serveradministrator oder ziehen Sie die Produktdokumentation zu Rate, um sicherzustellen, dass für die Einstellungen die Groß-/Kleinschreibung beachtet werden muss.
  4. WebSphere Application Server mit LDAP-Realm konfigurieren.
  5. Erstellen Sie einen Erstebenutzer. Dieser Benutzer ist der Anfangsadministrator des Jazz-Team-Servers.
  6. LDAP-Synchronisationstask verwenden.
  7. Verwenden Sie den Installationsassistenten zum Konfigurieren von Jazz-Team-Server für die Verwendung mit LDAP.
  8. Importieren Sie die Benutzer.

Allgemeines über LDAP-Konfigurationsparameter

Tabelle 1. LDAP-Parameter und Beschreibungen
Parameter Wertbeschreibung
Position des LDAP-Registrys Die URL, die auf den LDAP-Server verweist. ldap://ldap.example.com:389
Benutzername Der Benutzername zum Anmelden an diesem LDAP-Server. Für manche LDAP-Server ist eine anonyme Anmeldung mit Kennwort zulässig. In diesem Fall ist das Feld für den Parameter leer.
Kennwort Das dem Benutzernamen zugeordnete Kennwort.
Basis-DN des Benutzers Die Suchbasis gibt an, an welcher Stelle der Hierarchie mit der Suche nach Benutzern begonnen werden soll. Beispiel: "o=unternehmen,l=ort,c=land"
Zuordnung der Benutzereigenschaftennamen Die Zuordnung der Jazz-Benutzereigenschaftennamen zu den Attributnamen der LDAP-Registryeinträge. Sie müssen die folgenden Zuordnungen definieren:
  • userId = [LDAP-Benutzer-ID]
  • name = [LDAP-Benutzername]
  • emailAddress = [LDAP-E-Mail-Adresse]

Mit der Eigenschaft 'Bentuzer-ID' kann die Benutzer-ID angegeben werden, die zur Anmeldung eines Benutzers am System verwendet wird. Die Eigenschaft 'Name' wird zur Wiedergabe des Namens in der Benutzerschnittstelle verwendet.

Beispiel: userId=mail,name=cn,emailAddress=mail

Basis-DN der Gruppe Diese Suchbasis gibt an, an welcher Stelle der Hierarchie mit der Suche nach Gruppennamen begonnen werden soll. Beispiel: ou=memberlist,ou=yourgroups,o=example.com
Umwandlung von Jazz-Gruppen in LDAP-Gruppen Die Zuordnung zwischen Jazz-Gruppen und LDAP-Gruppen. Eine Jazz-Gruppe kann mehreren LDAP-Gruppen zugeordnet werden. Die LDAP-Gruppen müssen durch einen Semikolon getrennt sein. Im Beispiel 'JazzAdmins=LDAPAdmins1;LDAPAdmins2' wird die Gruppe 'JazzAdmins' den beiden Gruppen 'LDAPAdmins1' und 'LDAPAdmins2' zugeordnet. Jazz-Team-Server definiert fünf Gruppen für die Zuordnung:
  • JazzAdmins = [LDAP-Gruppe für Jazz-Administratoren]
  • JazzUsers =[LDAP-Gruppe für Jazz-Benutzer]
  • JazzDWAdmins =[LDAP-Gruppe für Jazz-Data-Warehouse-Administrator]
  • JazzGuests =[LDAP-Gruppe für Jazz-Gast]
  • JazzProjectAdmins =[LDAP-Gruppe für Jazz-Projektadministratoren:
Beispiele: JazzAdmins= YourGroupA, JazzUsers= YourGroupB, JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD, JazzProjectAdmins= YourGroupE.
Gruppennameneigenschaft Die LDAP-Eigenschaft, die den Namen der Jazz-Gruppen in der LDAP-Registry darstellt. Beispiel: cn. Dies wird in einer Abfrage zum Abrufen einer LDAP-Gruppe verwendet. Zum Abrufen einer LDAP-Gruppe wird in der Abfrage eine Kombination aus dem Basis-DN der Gruppe und der Gruppennameneigenschaft verwendet.
Gruppenmitgliedeigenschaft Die LDAP-Eigenschaft, die die Mitglieder einer Gruppe in der LDAP-Registry darstellt. Beispiel: uniquemember.

Konfigurationsprozess für die LDAP-Konfiguration

Gehen Sie wie folgt vor, um eine LDAP-Verbindung zu konfigurieren und Benutzer zu importieren:
  1. Stoppen Sie den Server.
  2. Wenn Sie vorher versucht haben, den LDAP-Server zu installieren, sichern Sie die Datei 'JazzInstallDir/jazz/server/tomcat/conf/server.xml'.
  3. Öffnen Sie die Datei 'JazzInstallDir/jazz/server/tomcat/conf/server.xml' zum Bearbeiten und entfernen Sie die Kommentarzeichen für den folgende Realm-Tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Speichern Sie die Datei und starten Sie den Server erneut.
  5. Öffnen Sie ein Web-Browser-Fenster und wechseln Sie zu https://localhost:9443/jazz/setup.
  6. Melden Sie sich unter Verwendung von ADMIN/ADMIN (sowohl für den Benutzernamen als auch für das Kennwort muss die Groß-/Kleinschreibung beachtet werden) an.
  7. Klicken Sie auf die Registerkarte Angepasste Konfiguration.
  8. Klicken Sie auf Weiter, bis Sie Seite 5, Benutzerregistry konfigurieren, erreichen.
  9. Wählen Sie im Abschnitt 'Schritt 1' unter Typ das Optionsfeld Tomcat-Benutzerdatenbank aus.
  10. Wählen Sie unter 'Schritt 3' das Markierungsfeld für ADMIN-Standardzugriff inaktivieren aus.
  11. Wählen Sie unter 'Schritt 4' das Markierungsfeld für die Lizenz Rational Team Concert - Developer aus.
  12. Klicken Sie auf Weiter, um den ersten Benutzer zu erstellen.
  13. Klicken Sie auf Zurück, bis Sie Seite 5, Benutzerregistry konfigurieren, erreichen.
  14. Wählen Sie unter 'Schritt 1' das Optionsfeld LDAP aus.
  15. Machen Sie in den Feldern in Abschnitt 2 die entsprechenden Angaben. Weitere Informationen hierzu finden Sie in Allgemeines über LDAP-Konfigurationsparameter.
  16. Fahren Sie den Server herunter.
  17. Web-Container für LDAP in Apache Tomcat konfigurieren.
  18. Starten Sie den Server erneut.
  19. Öffnen Sie ein Web-Browser-Fenster und wechseln Sie zu https://localhost:9443/jazz/admin.
  20. Melden Sie sich mit der Benutzer-ID an, die Sie zum Testen der Verbindung erstellt haben.

Web-Container für LDAP in Apache Tomcat konfigurieren

Weitere Informationen zur Konfiguration von Apache Tomcat für LDAP finden Sie unter den unten folgenden Links. Gehen Sie wie folgt vor, um den Web-Container für LDAP in Apache Tomcat zu konfigurieren:
  1. Öffnen Sie die Datei 'JazzInstallDir/jazz/server/tomcat/conf/server.xml' zum Bearbeiten und setzen Sie Kommentarzeichen für den folgenden Tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Fügen Sie den folgenden Tag für Oracle Internet Directory (OID) hinzu:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Fügen Sie den folgenden Tag für Microsoft Active Directory hinzu:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Öffnen Sie die Datei 'JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml' zum Bearbeiten und verlinken Sie die Verweise für die Sicherheitsaufgabenbereiche mit den Sicherheitsaufgabenbereichen:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Verwenden Sie die folgenden Tags zum Deklarieren der LDAP-Gruppen als Sicherheitsaufgbenbereiche:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    Verwenden Sie die folgenden Tags zum Aktualisieren des Abschnitts 'security-constraint':
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Repeat the same addendum on each security-constraint referencing a Jazz group:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Feedback

War dies eine Hilfe? Sie können Ihr Feedback bei Jazz.net (Registrierung erforderlich) geben: Geben Sie Ihre Kommentare in den Foren oder senden Sie einen Bug.