配置 LDAP 集成

Rational® Asset Manager 可与轻量级目录访问协议(LDAP)存储库集成,以执行用户认证、检索用户信息和利用组绑定。

开始之前

您必须具有存储库管理员许可权才能执行这些步骤。您还必须熟悉要使用的注册表的 LDAP 模式。

过程

  1. 登录到 Rational Asset Manager Web 应用程序。
  2. 打开“管理”页面。
  3. 在“存储库管理”中,单击配置
  4. 在“定制用户注册表”部分,选择“使用定制用户注册表”框。
  5. 如果您打算将定制类用于与定制用户注册表的集成,请提供标准类路径;否则,请使用缺省类。
  6. 输入将具有管理员许可权的用户的登录标识以访问 Rational Asset Manager。(如您没有设置有效的管理员,将无法作为管理员登录 Rational Asset Manager Web 应用程序,且不能对它进行配置。)
  7. 单击配置
  8. 在“定制用户类配置”页面上,完成表单以配置 Rational Asset Manager 与 LDAP 注册表模式之间的关系。如果您让某个文本字段保持为空白,那么它将还原为缺省值。如果您想要某个值为空,请输入空格(“ ”)。
    1. LDAP 服务器 URL:LDAP 服务器的 URL;例如,ldap://<url>:389。 要进行安全通信,请使用 ldaps://<url>:636
    2. 用户专有名称:用来登录注册表以获取访问权的用户名。输入用户的专有名称,例如,uid=123456,c=us,ou=exampleorganization,o=example.com
    3. 用户密码:以上用户的密码。
    4. 用户的唯一标识属性:用户的 objectClass 实例的属性名,代表唯一标识。 例如:(objectClass)人员的 serialNumber 属性,或(objectClass)用户的 sAMAccountName 属性。
    5. 用户的登录标识属性:用户用来登录的(objectClass)属性。尽管唯一标识和登录标识通常是相同的,但仍有可能对注册表进行设置,以便用户使用其他标识(例如,使用电子邮件地址)登录。注意,在步骤 6 中,登录标识属性必须与用户的登录标识相同。
    6. 用户的电话号码属性:表示用户的电话号码的(objectClass)属性。例如:(objectClass)人员的 telephonenumber 属性。
    7. 用户的电子邮件属性:表示用户的电子邮件地址的 (objectClass) 属性。例如:(objectClass) 人员的 mail 属性。
    8. 用户的显示名称属性:表示用户要在界面中显示的名称的 (objectClass) 属性。 例如:(objectClass) 人员的 cn 属性。
    9. 语言环境属性:(objectClass) 的属性,表示用户的电子邮件语言设置。例如:(objectClass) 人员的 language 属性。 如果将该字段保留为空白,那么它将还原为缺省值,用户可以从我的仪表板 > 编辑中管理其电子邮件语言设置。如果设置了此字段,那么将使用 LDAP 语言值。 如果值是 Rational Asset Manager 中支持的语言(例如,de、ko、ja、zh_TW、zh_CN、es、pt_BR、en、fr 和 ru),那么将使用该语言来设置用户。如果值无效(或者在 LDAP 中不存在),那么将使用 en(英语)。
    10. LDAP 用户基本搜索:要避免搜索注册表中不包含用户对象的部分,请输入开始搜索的根目录的路径值。例如,ou=exampleorganization,o=example.com
    11. 用户搜索过滤器:搜索用户时要使用的模板。%v 表示从输入文本字段中输入的搜索项。将按对搜索项追加了通配符的方式执行搜索。缺省搜索模板构造为查找 mail 属性或 name 属性与搜索项相同的所有人员的 objectClasses。
    12. LDAP 组基本搜索:类似于基本搜索,它是用于搜索组的基本搜索。例如,ou=memberlist,ou=groups,o=example.com
    13. 组搜索过滤器:类似于基于用户的过滤器,它是用于搜索组的过滤器。缺省情况下会搜索任何 groupOfUniqueNames(静态组)、groupOfNames(静态 LDAP 组)、groupOfUrls(动态 LDAP 组)和 group(活动目录定义的组)以获取用户输入的搜索项。
    14. 图像 URL 模板:它通常将图像存储在 LDAP 注册表之外的地方。可使用 URL 来检索用户的图像,方法是配置此模板以在注册表中检索用户信息的同时检索该图像。在此模板中,${property} 表示用户对象的 LDAP objectClass 属性,检索图像时将替换该属性。例如,对于 uid 属性为 123456 的用户,缺省模板 https://<ImageServer url>/photo/${uid}.jpg 会产生 URL https://<ImageServer URL>/photo/123456.jpg

结果

Rational Asset Manager Web 应用程序现在已正确配置为使用 LDAP 用户认证和用户信息检索。社区管理员现在可以将用户组绑定到其社区的“用户组”页面上 LDAP 注册表中的组。如果您要使用 LDAP 来认证用户,那么您必须通过 WebSphere® Application Server 管理控制台来配置 LDAP。
注: 如果您正在使用 LDAP 认证,并且一个 LDAP 主机名映射到网络配置中的多个 IP 地址,那么您必须使用 WebSphere Application Server 管理控制台来应用相应的配置属性,以防止用户使用无效凭证登录到 Rational Asset Manager 时可能发生的 LDAP 用户帐户封锁。

一次无效的登录会导致服务器通过各个 IP 地址验证用户,从而导致多重登录失败。 如果设置了最大登录尝试次数,那么一次无效的登录可能导致 LDAP 帐户封锁。 要防止发生此问题,请遵循此处描述的步骤:http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672


反馈