Gestione di utenti con LDAP (Lightweight Directory Access Protocol)

Queste informazioni sono di ausilio nella configurazione del registro LDAP per gestire gli utenti.

Se si intende utilizzare un registro LDAP con Jazz Team Server, è necessario configurare Apache Tomcat o WebSphere Application Server per utilizzare un registro LDAP per autenticare gli utenti.

Per configurare LDAP per l'utilizzo con Jazz Team Server, attenersi alle seguenti attività:
  1. Nozioni sui parametri di configurazione LDAP.
  2. Processo di impostazione della configurazione LDAP.
  3. Configurare il contenitore Web per LDAP in Apache Tomcat.
    Nota: L'identità dell'utente di Jazz Team Server è sensibile al maiuscolo/minuscolo. Quando si utilizza LDAP per la gestione degli utenti, disattivare l'opzione di non sensibile al maiuscolo/minuscolo. Avvalersi dell'assistenza di un amministratore del server oppure consultare la documentazione del prodotto per assicurarsi che le impostazioni siano sensibili al maiuscolo/minuscolo.
  4. Configurare WebSphere Application Server con un'area autenticazione LDAP.
  5. Creare un utente iniziale. Questo utente è l'amministratore di Jazz Team Server iniziale.
  6. Utilizzo dell'attività di sincronizzazione LDAP.
  7. Utilizzare la procedura guidata di configurazione per configurare Jazz Team Server per utilizzare LDAP.
  8. Importare gli utenti.

Nozioni sui parametri di configurazione LDAP

Tabella 1. Parametri LDAP e descrizioni
Parametro Descrizione del valore
Posizione del registro LDAP L'URL che fa riferimento al server LDAP. ldap://ldap.example.com:389
Nome utente Il nome utente per eseguire il login a questo server LDAP. Alcuni server LDAP consentono login e password anonimi. In questo caso, questo parametro è vuoto.
Password La password associata al nome utente.
ND di base dell'utente La base di ricerca indica dove, nella gerarchia, iniziare la ricerca degli utenti. Ad esempio, "o=azienda,l=città,c=paese"
Associazione nomi proprietà utente L'associazione di nomi proprietà di utenti Jazz a nomi attributo di voce del registro LDAP. È necessario definire le seguenti associazioni:
  • userId =[ID utente LDAP]
  • name =[nome utente LDAP]
  • emailAddress =[e-mail utente LDAP]

La proprietà userId identifica l'ID utente utilizzato quando un utente esegue il login al sistema. La proprietà name viene utilizzata per riprodurre il nome nell'interfaccia utente.

Ad esempio, userId=mail,name=cn,emailAddress=mail

ND di base del gruppo Questa base di ricerca indica dove, nella gerarchia, iniziare la ricerca di nomi di gruppo, ad esempio ou=elencomembri,ou=gruppiutente,o=esempio.com
Associazione tra gruppi Jazz e gruppi LDAP L'associazione tra gruppi Jazz e gruppi LDAP. Un gruppo Jazz può essere associato a più gruppi LDAP. I gruppi LDAP devono essere separati da un punto e virgola. Ad esempio, JazzAdmins=LDAPAdmins1;LDAPAdmins2 associa il gruppo JazzAdmins a LDAPAdmins1 e a LDAPAdmins2. Jazz Team Server definisce cinque gruppi con cui eseguire l'associazione:
  • JazzAdmins =[gruppo LDAP per gli amministratori Jazz]
  • JazzUsers =[gruppo LDAP per gli utenti Jazz]
  • JazzDWAdmins =[gruppo LDAP per l'amministratore di Jazz Data Warehouse]
  • JazzGuests =[gruppo LDAP per l'ospite Jazz]
  • JazzProjectAdmins =[gruppo LDAP per gli amministratori di progetto Jazz]
Ad esempio, JazzAdmins= GruppoUtenteA, JazzUsers= GruppoUtenteB, JazzDWAdmins= GruppoUtenteC, JazzGuests= GruppoUtenteD, JazzProjectAdmins= GruppoUtenteE.
Proprietà nome gruppo La proprietà LDAP che rappresenta il nome dei gruppi Jazz nel registro LDAP. Ad esempio, cn. Viene utilizzata nella query per richiamare un gruppo LDAP. Per richiamare un gruppo LDAP, una query utilizza una combinazione delle proprietà DN gruppo di base e Nome del gruppo.
Proprietà membro gruppo La proprietà LDAP che rappresenta i membri di un gruppo nel registro LDAP. Ad esempio, uniquemember.

Processo di impostazione della configurazione LDAP

Per configurare la connessione LDAP e importare gli utenti, attenersi alla seguente procedura:
  1. Arrestare il server.
  2. Se è stata precedentemente tentata l'installazione del server LDAP, eseguire il backup del file JazzInstallDir/jazz/server/tomcat/conf/server.xml.
  3. Aprire il file JazzInstallDir/jazz/server/tomcat/conf/server.xml per la modifica e rimuovere il commento per il seguente tag realm:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. Salvare il file e riavviare il server.
  5. Aprire una finestra del browser Web e accedere a https://localhost:9443/jazz/setup.
  6. Eseguire il login con ADMIN/ADMIN (sia il nome utente sia la password sono sensibili al maiuscolo/minuscolo).
  7. Fare clic sul pulsante Installazione personalizzata.
  8. Fare clic su Avanti fino a raggiungere la pagina 5, Impostazione del registro utenti.
  9. Nella sezione Fase 1 sotto Tipo, selezionare il pulsante di opzione Database utente Tomcat.
  10. Nella sezione Fase 3, selezionare la casella di spunta per Disabilita accesso ADMIN predefinito.
  11. Nella sezione Fase 4, selezionare la casella di spunta per la licenza Rational Team Concert - Developer.
  12. Fare clic su Avanti per creare questo primo utente.
  13. Fare clic su Indietro per tornare alla pagina 5, Impostazione del registro utenti.
  14. Nella sezione Fase 1, selezionare il pulsante di opzione LDAP.
  15. Compilare i campi nella sezione 2. Per ulteriori informazioni, consultare Nozioni sui parametri di configurazione LDAP.
  16. Arrestare il server.
  17. Configurare il contenitore Web per LDAP in Apache Tomcat.
  18. Riavviare il server.
  19. Aprire una finestra del browser Web e accedere a https://localhost:9443/jazz/admin.
  20. Eseguire il login con l'ID utente creato per testare la connessione.

Configurare il contenitore Web per LDAP in Apache Tomcat

Per ulteriori informazioni sulla configurazione di Apache Tomcat per LDAP, consultare i sottostanti link correlati. Per configurare il contenitore Web per LDAP in Apache Tomcat, attenersi alla seguente procedura:
  1. Aprire il file JazzInstallDir/jazz/server/tomcat/conf/server.xml per la modifica e impostare come commento il seguente tag:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Aggiungere il seguente tag per OID (Oracle Internet Directory):
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Aggiungere il seguente tag per Microsoft Active Directory:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. Aprire il file JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml per la modifica e collegare e associare i riferimenti di ruolo di protezione ai ruoli di protezione:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    Se i nomi dei gruppi LDAP sono uguali ai ruoli Jazz predefiniti
    non è necessario aggiungere i seguenti tag
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[gruppo LDAP per amministratori Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[gruppo LDAP per amministratori Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[gruppo LDAP per amministratori Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[gruppo LDAP per amministratori Jazz]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[gruppo LDAP per amministratori Jazz]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    Utilizzare i seguenti tag per dichiarare i gruppi LDAP come ruoli di protezione:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Se i nomi dei gruppi LDAP sono uguali ai ruoli Jazz predefiniti
    non è necessario aggiungere i seguenti tag
    -->
    <role-name>[gruppo LDAP per amministratori Jazz]</role-name>
    <role-name>[gruppo LDAP per gli amministratori Data Warehouse Jazz]</role-name>
    <role-name>[gruppo LDAP per ospiti Jazz]</role-name>
    <role-name>[gruppo LDAP per utenti Jazz]</role-name>
    <role-name>[gruppo LDAP per amministratori progetto Jazz]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    Utilizzare i seguenti tag per aggiornare la sezione security-constraint:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    Se i nomi dei gruppi LDAP sono uguali ai ruoli Jazz predefiniti
    non è necessario aggiungere i seguenti tag
    -->
    
    <role-name>[gruppo LDAP per amministratori Jazz]</role-name>
    <role-name>[gruppo LDAP per gli amministratori Data Warehouse Jazz]</role-name>
    <role-name>[gruppo LDAP per ospiti Jazz]</role-name>
    <role-name>[gruppo LDAP per utenti Jazz]</role-name>
    <role-name>[gruppo LDAP per amministratori progetto Jazz]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Ripetere la stessa aggiunta su ciascun security-constraint che fa riferimento a un gruppo Jazz:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[gruppo LDAP per amministratori Jazz]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

Feedback

Il supporto è stato valido? È possibile fornire un feedback a Jazz.net (è richiesta la registrazione) lasciando dei commenti nei forum o tramite l'inoltro di un bug