Lightweight Directory Access Protocol (LDAP) によるユーザーの管理

この情報は、ユーザーを管理するように LDAP レジストリーを構成する際に役立ちます。

Jazz™ Team Server で LDAP レジストリーを使用する予定がある場合は、LDAP レジストリーを使用してユーザーを認証するように Apache Tomcat または WebSphere® Application Server を構成する必要があります。

Jazz Team Server と連動するように LDAP を構成するには、以下の作業を実行します。
  1. LDAP 構成パラメーターの理解.
  2. LDAP 構成のセットアップ・プロセス.
  3. Apache Tomcat での LDAP 用 Web コンテナーの構成.
    注: Jazz Team Server ユーザー ID では大/小文字が区別されます。ユーザー管理に LDAP を使用する場合は、大/小文字を区別しないようにするオプションをオフにします。サーバー管理者と協力するか、製品資料を確認して、設定で大/小文字が区別されるようにしてください。
  4. LDAP レルムを使用して WebSphere Application Server を構成します。
  5. 初期ユーザーを作成します。 このユーザーは、Jazz Team Server の初期管理者です。
  6. LDAP 同期タスクの使用.
  7. セットアップ・ウィザードを使用して、LDAP を使用するように Jazz Team Server を構成します。
  8. ユーザーをインポートします。

LDAP 構成パラメーターの理解

表 1. LDAP パラメーターと説明
パラメーター 値の説明
LDAP レジストリーの場所 ご使用の LDAP サーバーを参照する URL。ldap://ldap.example.com:389
ユーザー名 この LDAP サーバーにログインするためのユーザー名。一部の LDAP サーバーでは、匿名のログインおよびパスワードを許可します。 この場合は、このパラメーターはブランクです。
パスワード ユーザー名に関連付けられたパスワード。
基本ユーザー DN 検索ベースは、ユーザーの検索を開始する階層内の場所を示します。例えば、「o=company,l=your city,c=your country」などです。
ユーザー・プロパティー名マッピング Jazz ユーザー・プロパティー名から LDAP レジストリー項目属性名へのマッピング。次のマッピングを定義する必要があります。
  • userId =[LDAP ユーザー ID]
  • name =[LDAP ユーザー名]
  • emailAddress =[LDAP ユーザーの E メール]

userId プロパティーは、ユーザーがシステムにログインする際に使用するユーザー ID を識別します。 name プロパティーは、ユーザー・インターフェースに名前をレンダリングするために使用されます。

例えば、userId=mail,name=cn,emailAddress=mail などです。

基本グループ DN この検索ベースは、グループ名の検索を開始する階層内の場所を示します。例えば、ou=memberlist,ou=yourgroups,o=example.com などです。
Jazz から LDAP グループへのマッピング Jazz グループと LDAP グループ間のマッピング。1 つの Jazz グループを複数の LDAP グループにマップすることができます。LDAP グループはセミコロンで区切る必要があります。例えば、JazzAdmins=LDAPAdmins1;LDAPAdmins2 は、JazzAdmins グループを LDAPAdmins1 と LDAPAdmins2 にマップします。Jazz Team Server では、 マップする 5 つのグループを以下の指定で定義します。
  • JazzAdmins =[Jazz 管理者の LDAP グループ]
  • JazzUsers =[Jazz ユーザーの LDAP グループ]
  • JazzDWAdmins =[Jazz データウェアハウス管理者の LDAP グループ]
  • JazzGuests =[Jazz ゲストの LDAP グループ]
  • JazzProjectAdmins =[Jazz プロジェクト管理者の LDAP グループ]
例えば、 JazzAdmins= YourGroupA、JazzUsers= YourGroupB、JazzDWAdmins= YourGroupC、JazzGuests= YourGroupD、JazzProjectAdmins= YourGroupE などです。
グループ名プロパティー LDAP レジストリーでの Jazz グループの名前を表す LDAP プロパティー。例えば、cn などです。これは、LDAP グループを検索するための照会で使用されます。 LDAP グループを検索するために、照会では、基本グループ DN とグループ名プロパティーの組み合わせを使用します。
グループ・メンバー・プロパティー LDAP レジストリーでのグループのメンバーを表す LDAP プロパティー。例えば、uniquemember などです。

LDAP 構成のセットアップ・プロセス

LDAP 接続を構成してユーザーをインポートするには、以下の手順を実行します。
  1. サーバーを停止します。
  2. 以前に LDAP サーバーのインストールを試行している場合は、JazzInstallDir/jazz/server/tomcat/conf/server.xml ファイルをバックアップします。
  3. 編集するために JazzInstallDir/jazz/server/tomcat/conf/server.xml ファイルを開き、以下の Realm タグのコメントを外します。
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  4. ファイルを保存して、サーバーを再始動します。
  5. Web ブラウザー・ウィンドウを開いて、https://localhost:9443/jazz/setup に移動します。
  6. ADMIN/ADMIN (ユーザー名、パスワードともに大/小文字を区別します) でログインします。
  7. 「カスタム・セットアップ」ボタンをクリックします。
  8. ページ 5 の「ユーザー・レジストリーのセットアップ」が表示されるまで「次へ」をクリックします。
  9. 「ステップ 1」セクションの「タイプ」で、「Tomcat ユーザー・データベース」ラジオ・ボタンを選択します。
  10. 「ステップ 3」で、「デフォルト ADMIN アクセスを使用不可に設定」のチェック・ボックスを選択します。
  11. 「ステップ 4」で、「Rational Team Concert - 開発者 (Rational Team Concert - Developer)」ライセンスのチェック・ボックスを選択します。
  12. 「次へ」をクリックすると、この最初のユーザーが作成されます。
  13. 「前へ」をクリックして、ページ 5 の「ユーザー・レジストリーのセットアップ」に戻ります。
  14. 「ステップ 1」で、「LDAP」ラジオ・ボタンを選択します。
  15. 「セクション 2」のフィールドに入力を行います。詳しくは、LDAP 構成パラメーターの理解を参照してください。
  16. サーバーをシャットダウンします。
  17. Apache Tomcat での LDAP 用 Web コンテナーの構成.
  18. サーバーを再始動します。
  19. Web ブラウザー・ウィンドウを開いて、https://localhost:9443/jazz/admin に移動します。
  20. 作成したユーザー ID を使用してログインし、接続をテストします。

Apache Tomcat での LDAP 用 Web コンテナーの構成

LDAP 用の Apache Tomcat の構成についての追加情報は、以下の関連リンクを参照してください。 Apache Tomcat で LDAP 用 Web コンテナーを構成するには、以下の手順を実行します。
  1. 編集するために JazzInstallDir/jazz/server/tomcat/conf/server.xml ファイルを開き、以下のタグをコメント化します。
    <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                 resourceName="UserDatabase" 
                 digest="SHA-1"
                 digestEncoding="UTF-8"/>
  2. Oracle Internet Directory (OID) 用に以下のタグを追加します。
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:389"
     roleBase="cn=Groups,dc=company,dc=com"
     roleSearch="(uniquemember={0})" 
     roleName="cn"
     userBase="cn=Users,dc=company,dc=com"
     userSearch="(uid={0})"/>
    Microsoft Active Directory 用に以下のタグを追加します。
    <Realm className="org.apache.catalina.realm.JNDIRealm" 
     debug="99"
     connectionURL="ldap://ldap.company.com:3268"
     authentication="simple"
     referrals="follow"
     connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
     connectionPassword="VerySecretPassword" 
     userSearch="(sAMAccountName={0})"
     userBase="dc=company,dc=com" 
     userSubtree="true"
     roleSearch="(member={0})" 
     roleName="cn" 
     roleSubtree="true"
     roleBase="dc=company,dc=com"/>
  3. 編集するために JazzInstallDir/jazz/server/tomcat/webapps/jazz/WEB-INF/web.xml ファイルを開き、セキュリティー役割参照をセキュリティー役割にリンクおよびマップします。
    <web-app id="WebApp">
    <servlet id="bridge">
    <servlet-name>equinoxbridgeservlet</servlet-name>
    <display-name>Equinox Bridge Servlet</display-name>
    <description>Equinox Bridge Servlet</description>
    <servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
    <init-param><!-- ... --></init-param>
    <!-- ... -->
    <load-on-startup>1</load-on-startup>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <security-role-ref>
    <role-name>JazzAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzDWAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzGuests</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzUsers</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    <security-role-ref>
    <role-name>JazzProjectAdmins</role-name>
    <role-link>[LDAP Group for Jazz admins]</role-link>
    </security-role-ref>
    
    </servlet>
    <!-- ... -->
    </web-app>
    以下のタグを使用して、LDAP グループをセキュリティー役割として宣言します。
    <web-app id="WebApp">
    <servlet id="bridge">
    <!-- ... -->
    <security-role>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzUsers</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    </security-role>
    <!-- ... -->
    </web-app>
    以下のタグを使用して、security-constraint セクションを更新します。
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>secure</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    
    <auth-constraint>
    <role-name>JazzUsers</role-name>
    <role-name>JazzAdmins</role-name>
    <role-name>JazzGuests</role-name>
    <role-name>JazzDWAdmins</role-name>
    <role-name>JazzProjectAdmins</role-name>
    
    <!-- Addendum
    If the names of your LDAP Groups are the same as the default Jazz roles
    you don't need to add the following tags
    -->
    
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <role-name>[LDAP Group for Jazz Data Warehouse Admins]</role-name>
    <role-name>[LDAP Group for Jazz Guests]</role-name>
    <role-name>[LDAP Group for Jazz Users]</role-name>
    <role-name>[LDAP Group for Jazz Project Admins]</role-name>
    <!-- End Addendum -->
    
    </auth-constraint>
    
    <user-data-constarint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>
    Jazz グループを参照するそれぞれの security-constraint で、同じ補足を繰り返します。
    <web-app id="WebApp">
    <!-- ... -->
    <security-constraint>
    <web-resource-collection>
    <web-resource-name>adminsecure</web-resource-name>
    <url-pattern>/admin/cmd/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JazzAdmins</role-name>
    <!-- Addendum -->
    <role-name>[LDAP Group for Jazz Admins]</role-name>
    <!-- End addendum -->
    </auth-constraint>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>
    <!-- ... -->
    </web-app>

フィードバック

この情報は参考になりましたか。Jazz.net でフィードバックをお送り頂けます (登録が必要です): フォーラムにコメントを記入したり、バグを送信したりすることができます。