利用輕量型目錄存取通訊協定 (LDAP) 來管理使用者

這項資訊可以協助您配置 LDAP 登錄來管理使用者。

如果您計劃搭配 Jazz™ Team Server 來使用 LDAP 登錄,您必須將您的 Apache Tomcat 或 WebSphere® Application Server 配置成利用 LDAP 登錄來鑑別使用者。

如果要配置 LDAP 來使用 Jazz Team Server,請遵循下列作業:
  1. 瞭解 LDAP 配置參數.
  2. LDAP 配置設定程序.
  3. 在 Apache Tomcat 中配置 LDAP 的 Web 儲存器.
    註: Jazz Team Server 使用者身分會區分大小寫。 當利用 LDAP 來管理使用者時,請關閉不區分大小寫選項。 請洽詢伺服器管理者或參閱產品文件,以確保設定會區分大小寫。
  4. 配置 WebSphere Application Server 以使用 LDAP 網域範圍
  5. 建立起始使用者。這位使用者是最初的 Jazz Team Server 管理者。
  6. 使用 LDAP 同步化作業.
  7. 使用設定精靈,將 Jazz Team Server 配置成使用 LDAP。
  8. 匯入使用者

瞭解 LDAP 配置參數

表 1. LDAP 參數和說明
參數 值說明
LDAP 登錄位置 參照 LDAP 伺服器的 URL。ldap://ldap.example.com:389
使用者名稱 登入這部 LDAP 伺服器的使用者名稱。 某些 LDAP 伺服器接受匿名登入與密碼。在這個情況下,這個參數空白。
密碼 關聯於使用者名稱的密碼。
基本使用者 DN 搜尋基準指出從階層中的哪裡開始搜尋使用者。 例如 "o=company,l=your city,c=your country"
使用者內容名稱對映 Jazz 使用者內容名稱至 LDAP 登錄項目屬性名稱的對映。您必須定義下列對映:
  • userId =[LDAP user ID]
  • name =[LDAP user name]
  • emailAddress =[LDAP user e-mail]

userid 內容識別使用者登入系統時所用的使用者 ID。name 內容用來將名稱呈現在使用者介面中。

例如,userId=mail,name=cn,emailAddress=mail

基本群組 DN 這個搜尋基準指出從階層中的哪裡開始搜尋群組名稱,例如 ou=memberlist,ou=yourgroups,o=example.com
Jazz 至 LDAP 群組對映 Jazz 群組和 LDAP 群組之間的對映。 一個 Jazz 群組可以對映至多個 LDAP 群組。 各個 LDAP 群組必須用分號區隔。 例如,JazzAdmins=LDAPAdmins1;LDAPAdmins2 會將 JazzAdmins 群組對映至 LDAPAdmins1 和 LDAPAdmins2。 Jazz Team Server 定義 5 個要對映的群組:
  • JazzAdmins =[LDAP Group for Jazz admins]
  • JazzUsers =[LDAP Group for Jazz users]
  • JazzDWAdmins =[LDAP Group for Jazz Data Warehouse Admin]
  • JazzGuests =[LDAP Group for Jazz guest]
  • JazzProjectAdmins =[LDAP Group for Jazz project admins]
例如,JazzAdmins= YourGroupA、JazzUsers= YourGroupB、JazzDWAdmins= YourGroupC、JazzGuests= YourGroupD、JazzProjectAdmins= YourGroupE。
群組名稱內容 代表 LDAP 登錄中之 Jazz 群組名稱的 LDAP 內容。 例如,cn。此項在查詢中用來擷取 LDAP 群組。在擷取 LDAP 群組時,查詢會採用「基本群組 DN」與「群組名稱內容」組合。
群組成員內容 代表 LDAP 登錄中之群組成員的 LDAP 內容。 例如,uniquemember。

LDAP 配置設定程序

如果要配置 LDAP 連線,並匯入使用者,請遵循下列步驟:
  1. 停止伺服器。
  2. 如果您先前曾試著安裝 LDAP 伺服器,請備份 JazzInstallDir/jazz/server/tomcat/conf/server.xml 檔。
  3. 開啟 JazzInstallDir/jazz/server/tomcat/conf/server.xml 檔,以編輯和解除註解下列的網域範圍標籤:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 	resourceName="UserDatabase"
                 	digest="SHA-1"
                 	digestEncoding="UTF-8"/>
  4. 儲存檔案,並重新啟動伺服器。
  5. 開啟 Web 瀏覽器視窗,並移至 https://localhost:9443/jazz/setup。
  6. 以 ADMIN/ADMIN 登入(使用者名稱與密碼皆區分大小寫)。
  7. 按一下自訂設定按鈕。
  8. 下一步,直到抵達第 5 頁,設定使用者登錄
  9. 在「步驟 1」區段的類型底下,選取 Tomcat 使用者資料庫圓鈕。
  10. 在「步驟 3」底下,選取停用預設 ADMIN 存取權勾選框。
  11. 在「步驟 4」底下,選取 Rational Team Concert - 開發人員授權勾選框。
  12. 下一步,建立這第一位使用者。
  13. 上一步,回到第 5 頁,設定使用者登錄
  14. 在「步驟 1」底下,選取 LDAP 圓鈕。
  15. 填寫「區段 2」中的欄位。如需相關資訊,請參閱瞭解 LDAP 配置參數
  16. 關閉伺服器。
  17. 在 Apache Tomcat 中配置 LDAP 的 Web 儲存器.
  18. 重新啟動伺服器。
  19. 開啟 Web 瀏覽器視窗,並移至 https://localhost:9443/jazz/admin。
  20. 以您建立用來測試連線的使用者 ID 登入。

在 Apache Tomcat 中配置 LDAP 的 Web 儲存器

如需配置 Apache Tomcat 使用 LDAP 的其他資訊,請參閱以下的相關鏈結。如果要在 Apache Tomcat 中配置 LDAP 的 Web 儲存器,請遵循下列步驟:
  1. 開啟 JazzInstallDir/jazz/server/tomcat/conf/server.xml 檔,以編輯和註解下列標籤:
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 	resourceName="UserDatabase"
                 	digest="SHA-1"
                 	digestEncoding="UTF-8"/>
  2. 若為「Oracle 網際網路目錄 (OID)」,請新增下列標籤:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    若為 Microsoft Active Directory,請新增下列標籤:
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. 開啟 JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml 檔進行編輯,將安全角色參照鏈結並對映至安全角色:
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    使用下列標籤,將 LDAP 群組宣告為安全角色:
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    使用下列標籤,來更新 security-constraint 區段:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    針對參照 Jazz 群組的每一個 security-constraint,重複相同的附錄:
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

意見

以上說明對您有幫助嗎?您可以在 Jazz.net 網站中提供意見(需要登錄):在討論區中提供意見提交錯誤