Configuración para la integración con LDAP

Rational Asset Manager se puede integrar con los repositorios del protocolo Lightweight Directory Access Protocol (LDAP) para realizar autenticación de usuarios, recuperar información de usuario y aprovechar los enlaces de grupo.

Antes de empezar

Debe tener permiso de administrador de repositorios para realizar estos pasos. También debe estar familiarizado con el esquema LDAP del registro a utilizar.

Procedimiento

  1. Inicie una sesión en la aplicación web de Rational Asset Manager.
  2. Abra la página Administración.
  3. En Administración de repositorios, pulse en Configuración.
  4. En la sección Registro de usuario personalizado, seleccione el recuadro "Utilizar un registro de usuario personalizado".
  5. Si tiene pensado utilizar una clase personalizada para la integración con un registro de usuario personalizado, proporcione la vía de acceso completa de clases; si no, utilice la clase predeterminada.
  6. Especifique el ID de inicio de sesión de un usuario que tenga permiso de administrador para acceder a Rational Asset Manager. (Si no configura un administrador válido, no podrá iniciar la sesión en la aplicación web de Rational Asset Manager como administrador y no podrá configurarla).
  7. Pulse Configurar.
  8. En la página Configuración de clase de usuario personalizado, complete el formulario para configurar la relación entre Rational Asset Manager y el esquema de registro LDAP. Si deja un campo de texto en blanco, se rellenará con el valor predeterminado. Si quiere que un valor sea nulo, especifique un espacio (" ").
    1. URL del servidor LDAP: el URL para el servidor LDAP; por ejemplo, ldap://<url>:389. Para comunicación segura, utilice ldaps://<url>:636.
    2. Nombre distinguido del usuario: nombre de usuario a utilizar para iniciar sesión en el registro, y obtener así acceso. Especifique el nombre distinguido del usuario, por ejemplo, uid=123456,c=us,ou=exampleorganization,o=example.com.
    3. Contraseña del usuario: la contraseña del usuario indicado anteriormente.
    4. Propiedad ID exclusivo del usuario: nombre de propiedad de la instancia objectClass para el usuario que representa el ID exclusivo. Por ejemplo: la propiedad (objectClass) serialNumber de la persona o la propiedad (objectClass) sAMAccountName del usuario.
    5. Propiedad ID de inicio de sesión del usuario: la propiedad (objectClass) que un usuario utiliza para iniciar sesión. Aunque es frecuente que el ID exclusivo y el ID de inicio de sesión sean el mismo, es posible que el registro se pueda establecer de forma que un usuario inicie sesión empleando otro ID (por ejemplo, utilizando una dirección de correo electrónico). Tenga en cuenta que el ID de inicio de sesión debe ser el mismo que el ID de inicio de sesión del usuario del paso 6.
    6. Propiedad Número de teléfono del usuario: la propiedad (objectClass) que representa el número de teléfono del usuario. Por ejemplo: propiedad (objectClass) telephonenumber del usuario.
    7. Propiedad Correo electrónico del usuario: la propiedad de (objectClass) que representa la dirección de correo electrónico del usuario. Por ejemplo: propiedad (objectClass) mail del usuario.
    8. Propiedad Nombre de visualización del usuario: la propiedad (objectClass) que representa el nombre del usuario que se debe mostrar en la interfaz. Por ejemplo: propiedad (objectClass) cn de la persona.
    9. Propiedad Entorno local: la propiedad de (objectClass) que representa el valor de idioma de correo electrónico del usuario. Por ejemplo: propiedad (objectClass) language de la persona. Si deja el campo en blanco, se rellenará con el valor predeterminado y los usuarios podrán gestionar su valor de idioma de correo electrónico desde Mi panel de instrumentos > Editar. Si establece el campo, se utilizará el valor de idioma de LDAP. Si el valor es un idioma soportado en Rational Asset Manager (por ejemplo, de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr y ru), el usuario se establecerá con ese idioma. Si el valor no es válido (o no existe en LDAP), se utilizará en (Inglés).
    10. Búsqueda de base de usuarios de LDAP: para evitar la búsqueda en partes del registro que no contienen objetos de usuario, especifique el valor de la vía de acceso del lugar raíz en el que iniciar la búsqueda. Por ejemplo, ou=exampleorganization,o=example.com.
    11. Filtro de búsqueda de usuarios: la plantilla a utilizar cuando se busca un usuario. %v representa el término de búsqueda que se ha especificado desde un campo de texto de entrada. La búsqueda se realizará como si se hubiera añadido un comodín al término de búsqueda. La plantilla de búsqueda predeterminada está diseñada para buscar todas las clases de objeto (objectClasses) de tipo person en las que las propiedades mail o name sean las mismas que en el término de búsqueda.
    12. Búsqueda de base de grupo de LDAP: parecido a una búsqueda base, esta es la búsqueda base para buscar grupos. Por ejemplo, ou=memberlist,ou=groups,o=example.com.
    13. Filtro de búsqueda de grupos: parecido al filtro basado en usuarios, este es el filtro para buscar grupos. El valor predeterminado busca groupOfUniqueNames (grupo estático), groupOfNames (grupo LDAP estático), groupOfUrls (grupo LDAP dinámica), group (grupo definido en Active Directory) para hallar el término de búsqueda especificado por el usuario.
    14. Plantilla de URL de imagen: es frecuente almacenar imágenes en algún otro lugar que no sea un registro LDAP. Puede recuperar la imagen de un usuario utilizando un URL, configurando esta plantilla para recuperar la imagen al mismo tiempo que la información de usuario del registro. En la plantilla, ${property} representa la propiedad objectClass de LDAP del objeto de usuario que se va a reemplazar cuando se recupere la imagen. Por ejemplo, para un usuario con uid property=123456, la plantilla predeterminado https://<ImageServer url>/photo/${uid}.jpg genera el URL https://<ImageServer URL>/photo/123456.jpg.

Resultados

La aplicación web de Rational Asset Manager está ahora configurada apropiadamente para utilizar LDAP para la autenticación de usuario y la recuperación de información de usuario. Los administradores de comunidad pueden enlazar grupos de usuarios a grupos en el registro LDAP en la página Grupos de usuario para sus comunidades. Si quiere autenticar usuarios mediante LDAP, debe configurarlo desde la consola administrativa de WebSphere Application Server.
Nota: Si está utilizando la autenticación LDAP y existe un solo nombre de host de LDAP correlacionado con varias direcciones IP en la configuración de red, debe utilizar la consola de administración de WebSphere Application Server para aplicar la propiedad de configuración apropiada y evitar así posibles bloqueos de cuentas de usuario LDAP si un usuario inicia una sesión en Rational Asset Manager con credenciales no válidas.

Un inicio de sesión no válido hace que el servidor valide el usuario con cada dirección IP y de esta manera produce varios errores de inicio de sesión. Si ha definido un número máximo de intentos de inicio de sesión, un solo inicio de sesión no válido podría producir un bloqueo de cuenta LDAP. Para evitar que se produzca este problema, siga los pasos descritos aquí: http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672


Comentarios