Rational Asset
Manager kann in LDAP-Repositorys (LDAP = Lightweight Directory Access Protocol)
integriert werden, um die Benutzerauthentifizierung auszuführen,
Benutzerinformationen abzurufen und Gruppenbindungen zu nutzen.
Vorbereitende Schritte
Um diese Schritte ausführen zu können, müssen Sie über die Berechtigung
als Repository-Administrator verfügen. Sie müssen auch mit dem LDAP-Schema der
zu verwendenden Registry vertraut sein.
Vorgehensweise
- Melden Sie sich bei der Rational Asset
Manager-Webanwendung an.
- Öffnen Sie die Seite 'Administration'.
- Klicken Sie unter 'Repositoryadministration' auf
Konfiguration.
- Wählen Sie im Abschnitt 'Angepasste Benutzerregistry' das Kästchen
'Angepasste Benutzerregistry verwenden' aus.
- Wenn Sie planen, eine angepasste Klasse zur Integration in eine angepasste
Benutzerregistry zu verwenden, geben Sie den vollständig qualifizierten
Klassenpfad an; verwenden Sie andernfalls die Standardklasse.
- Geben Sie die Anmelde-ID eines Benutzers mit Administratorberechtigung für
den Zugriff auf
Rational
Asset Manager ein. (Wenn Sie keinen gültigen Administrator definieren, können
Sie sich nicht als Administrator bei der
Rational
Asset Manager-Webanwendung anmelden und diese nicht konfigurieren.)
- Klicken Sie auf Konfigurieren.
- Füllen Sie auf der Seite für die Konfiguration der angepassten
Benutzerklasse das Formular zum Konfigurieren der Beziehung zwischen
Rational
Asset Manager und dem LDAP-Registryschema aus. Wenn Sie ein Textfeld leer
lassen, wird es auf den Standardwert zurückgesetzt. Wenn der Wert null
verwendet werden soll, geben Sie ein Leerzeichen (" ") ein.
- URL des LDAP-Servers: Die URL für den LDAP-Server,
z. B. ldap://<url>:389.
Verwenden Sie für die
sichere Kommunikation ldaps://<url>:636.
- Eindeutiger Benutzername:
Ein Benutzername, der für die Anmeldung bei der Registry verwendet werden soll,
um Zugriff zu erlangen.
Geben Sie den eindeutigen Namen des Benutzers ein, z.
B. uid=123456,c=us,ou=exampleorganization,o=example.com.
- Das Kennwort für den Benutzer: Das Kennwort für den
oben eingegebenen Benutzer.
- Eine eindeutige ID-Eigenschaft für den Benutzer: Der Eigenschaftsname der objectClass-Instanz für den Benutzer,
der die eindeutige ID darstellt. Beispiel: (objectClass)-Eigenschaft serialNumber von person
oder (objectClass)-Eigenschaft sAMAccountName von benutzer.
- Eigenschaft für Anmelde-ID des Benutzers: Die
(objectClass)-Eigenschaft, mit der sich ein Benutzer anmeldet. Obwohl im
Allgemeinen die eindeutige ID und die Anmelde-ID identisch sind, kann die
Registry unter Umständen so konfiguriert sein, dass sich ein Benutzer unter
Verwendung einer anderen ID anmeldet (z. B. unter Verwendung einer
E-Mail-Adresse). Beachten Sie, dass die Eigenschaft für die Anmelde-ID mit der
Anmelde-ID des Benutzers (siehe Schritt 6) identisch sein muss.
- Eigenschaft für Telefonnummer des Benutzers:
Die (objectClass)-Eigenschaft, die die Telefonnummer des Benutzers darstellt. Beispiel: (objectClass)-Eigenschaft telephonenumber von person.
- Eigenschaft für E-Mail des Benutzers:
Die (objectClass)-Eigenschaft für die E-Mail-Adresse des Benutzers. Beispiel:
(objectClass)-Eigenschaft mail von person.
- Eigenschaft für Anzeigename des Benutzers:
Die (objectClass)-Eigenschaft für den Namen des Benutzers, der in der Schnittstelle angezeigt wird. Beispiel: (objectClass)-Eigenschaft cn von person.
- Eigenschaft für Ländereinstellung: Die (objectClass)-Eigenschaft für die Einstellung der E-Mail-Sprache für den
Benutzer. Beispiel: (objectClass)-Eigenschaft language von person. Wenn Sie das Feld leer lassen, wird es auf den Standardwert zurückgesetzt. Benutzer können die Einstellung für die E-Mail-Sprache dann über die Menüoptionen verwalten. Wenn Sie das Feld definieren, dann wird der LDAP-Sprachenwert verwendet.
Wenn der Wert eine Sprache angibt, die in Rational Asset Manager unterstützt wird (z. B. de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr und ru), dann wird für den Benutzer diese Sprache eingestellt. Wenn der Wert ungültig (oder in LDAP nicht vorhanden) ist, dann wird en (English) verwendet.
- LDAP-Benutzerstammsuche: Um zu vermeiden, dass Teile der Registry durchsucht werden, die keine Benutzerobjekte enthalten,
geben Sie den Wert des Pfads für das Stammverzeichnis ein, das der Ausgangspunkt für die Suche sein soll.
Beispiel: ou=exampleorganization,o=example.com.
- Benutzersuchfilter: Die Schablone, die bei der
Suche nach einem Benutzer verwendet werden soll. %v gibt den Suchbegriff an,
der über ein Eingabetextfeld eingegeben wurde. Die Suche wird so ausgeführt,
als wäre ein Platzhalter an den Suchbegriff angehängt. Die
Standardsuchschablone ist so konstruiert, dass alle Objektklassen
(objectClasses) Person, in denen entweder die Eigenschaft Mail
oder die Eigenschaft Name, die mit dem Suchbegriff übereinstimmt,
gefunden werden.
- LDAP-Gruppenstammsuche: Die Stammsuche für die
Suche nach Gruppen ist ähnlich wie die Benutzerstammsuche. Beispiel: ou=memberlist,ou=groups,o=example.com.
- Gruppensuchfilter: Der Filter für die Suche nach
Gruppen ist ähnlich wie der Benutzersuchfilter.
Standardmäßig werden alle
Gruppe_eindeutiger_Namen (statische Gruppe), Gruppe_von_Namen
(statische LDAP-Gruppe), Gruppe_von_URLs (dynamische LDAP-Gruppe),
Gruppe (in Active Directory definierte Gruppe) nach dem vom Benutzer
eingegebenen Suchbegriff durchsucht.
- URL-Schablone für Bilder: Normalerweise werden
Bilder nicht in der LDAP-Registry, sondern an anderer Stelle gespeichert. Sie
können das Bild eines Benutzers mithilfe einer URL abrufen, indem Sie diese
Schablone so konfigurieren, dass das Bild gleichzeitig mit den
Benutzerinformationen in der Registry abgerufen wird.
In der Schablone gibt
${Eigenschaft} eine LDAP-objectClass-Eigenschaft des Benutzerobjekts an,
das beim Abrufen des Bildes ersetzt werden soll. Beispielsweise hat für einen
Benutzer mit der uid property=123456 die Standardschablone
https://<ImageServer url>/photo/${uid}.jpg die URL
https://<ImageServer URL>/photo/123456.jpg zur
Folge.
Ergebnisse
Die
Rational
Asset Manager-Webanwendung ist jetzt korrekt für die Verwendung von LDAP für
die Benutzerauthentifizierung und das Abrufen von Benutzerinformationen
konfiguriert. Community-Administratoren können jetzt auf der Seite
'Benutzergruppen' für ihre Community Benutzergruppen an Gruppen in der
LDAP-Registry binden. Wenn Sie Benutzer mithilfe von LDAP authentifizieren
möchten, müssen Sie dies von der Administrationskonsole von
WebSphere
Application Server aus konfigurieren.
Anmerkung: Wenn Sie die LDAP-Authentifizierung
verwenden und ein einzelner LDAP-Hostname mehreren IP-Adressen in Ihrer
Netzkonfiguration zugeordnet ist, müssen Sie die Administrationskonsole von
WebSphere Application Server verwenden, um die entsprechende
Konfigurationseigenschaft anzuwenden und so zu verhindern, dass möglicherweise
LDAP-Benutzeraccounts gesperrt werden, wenn Benutzer sich mit ungültigen
Berechtigungsnachweisen bei Rational Asset Manager anmelden.
Eine ungültige Anmeldung hat zur Folge, dass der Server den Benutzer mit
jeder IP-Adresse validiert und dies demzufolge mehrere Anmeldefehler zur Folge
hat. Wenn Sie einen Maximalwert für die Anzahl Anmeldeversuche festgelegt
haben, könnte eine einzige ungültige Anmeldung eine LDAP-Accountsperre zur
Folge haben. Um dies zu verhindern, führen Sie die folgenden Schritte aus, die
unter
http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672
beschrieben sind.