Konfiguration für die Integration in LDAP

Rational Asset Manager kann in LDAP-Repositorys (LDAP = Lightweight Directory Access Protocol) integriert werden, um die Benutzerauthentifizierung auszuführen, Benutzerinformationen abzurufen und Gruppenbindungen zu nutzen.

Vorbereitende Schritte

Um diese Schritte ausführen zu können, müssen Sie über die Berechtigung als Repository-Administrator verfügen. Sie müssen auch mit dem LDAP-Schema der zu verwendenden Registry vertraut sein.

Vorgehensweise

  1. Melden Sie sich bei der Rational Asset Manager-Webanwendung an.
  2. Öffnen Sie die Seite 'Administration'.
  3. Klicken Sie unter 'Repositoryadministration' auf Konfiguration.
  4. Wählen Sie im Abschnitt 'Angepasste Benutzerregistry' das Kästchen 'Angepasste Benutzerregistry verwenden' aus.
  5. Wenn Sie planen, eine angepasste Klasse zur Integration in eine angepasste Benutzerregistry zu verwenden, geben Sie den vollständig qualifizierten Klassenpfad an; verwenden Sie andernfalls die Standardklasse.
  6. Geben Sie die Anmelde-ID eines Benutzers mit Administratorberechtigung für den Zugriff auf Rational Asset Manager ein. (Wenn Sie keinen gültigen Administrator definieren, können Sie sich nicht als Administrator bei der Rational Asset Manager-Webanwendung anmelden und diese nicht konfigurieren.)
  7. Klicken Sie auf Konfigurieren.
  8. Füllen Sie auf der Seite für die Konfiguration der angepassten Benutzerklasse das Formular zum Konfigurieren der Beziehung zwischen Rational Asset Manager und dem LDAP-Registryschema aus. Wenn Sie ein Textfeld leer lassen, wird es auf den Standardwert zurückgesetzt. Wenn der Wert null verwendet werden soll, geben Sie ein Leerzeichen (" ") ein.
    1. URL des LDAP-Servers: Die URL für den LDAP-Server, z. B. ldap://<url>:389. Verwenden Sie für die sichere Kommunikation ldaps://<url>:636.
    2. Eindeutiger Benutzername: Ein Benutzername, der für die Anmeldung bei der Registry verwendet werden soll, um Zugriff zu erlangen. Geben Sie den eindeutigen Namen des Benutzers ein, z. B. uid=123456,c=us,ou=exampleorganization,o=example.com.
    3. Das Kennwort für den Benutzer: Das Kennwort für den oben eingegebenen Benutzer.
    4. Eine eindeutige ID-Eigenschaft für den Benutzer: Der Eigenschaftsname der objectClass-Instanz für den Benutzer, der die eindeutige ID darstellt. Beispiel: (objectClass)-Eigenschaft serialNumber von person oder (objectClass)-Eigenschaft sAMAccountName von benutzer.
    5. Eigenschaft für Anmelde-ID des Benutzers: Die (objectClass)-Eigenschaft, mit der sich ein Benutzer anmeldet. Obwohl im Allgemeinen die eindeutige ID und die Anmelde-ID identisch sind, kann die Registry unter Umständen so konfiguriert sein, dass sich ein Benutzer unter Verwendung einer anderen ID anmeldet (z. B. unter Verwendung einer E-Mail-Adresse). Beachten Sie, dass die Eigenschaft für die Anmelde-ID mit der Anmelde-ID des Benutzers (siehe Schritt 6) identisch sein muss.
    6. Eigenschaft für Telefonnummer des Benutzers: Die (objectClass)-Eigenschaft, die die Telefonnummer des Benutzers darstellt. Beispiel: (objectClass)-Eigenschaft telephonenumber von person.
    7. Eigenschaft für E-Mail des Benutzers: Die (objectClass)-Eigenschaft für die E-Mail-Adresse des Benutzers. Beispiel: (objectClass)-Eigenschaft mail von person.
    8. Eigenschaft für Anzeigename des Benutzers: Die (objectClass)-Eigenschaft für den Namen des Benutzers, der in der Schnittstelle angezeigt wird. Beispiel: (objectClass)-Eigenschaft cn von person.
    9. Eigenschaft für Ländereinstellung: Die (objectClass)-Eigenschaft für die Einstellung der E-Mail-Sprache für den Benutzer. Beispiel: (objectClass)-Eigenschaft language von person. Wenn Sie das Feld leer lassen, wird es auf den Standardwert zurückgesetzt. Benutzer können die Einstellung für die E-Mail-Sprache dann über die Menüoptionen Mein Dashboard > Bearbeiten verwalten. Wenn Sie das Feld definieren, dann wird der LDAP-Sprachenwert verwendet. Wenn der Wert eine Sprache angibt, die in Rational Asset Manager unterstützt wird (z. B. de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr und ru), dann wird für den Benutzer diese Sprache eingestellt. Wenn der Wert ungültig (oder in LDAP nicht vorhanden) ist, dann wird en (English) verwendet.
    10. LDAP-Benutzerstammsuche: Um zu vermeiden, dass Teile der Registry durchsucht werden, die keine Benutzerobjekte enthalten, geben Sie den Wert des Pfads für das Stammverzeichnis ein, das der Ausgangspunkt für die Suche sein soll. Beispiel: ou=exampleorganization,o=example.com.
    11. Benutzersuchfilter: Die Schablone, die bei der Suche nach einem Benutzer verwendet werden soll. %v gibt den Suchbegriff an, der über ein Eingabetextfeld eingegeben wurde. Die Suche wird so ausgeführt, als wäre ein Platzhalter an den Suchbegriff angehängt. Die Standardsuchschablone ist so konstruiert, dass alle Objektklassen (objectClasses) Person, in denen entweder die Eigenschaft Mail oder die Eigenschaft Name, die mit dem Suchbegriff übereinstimmt, gefunden werden.
    12. LDAP-Gruppenstammsuche: Die Stammsuche für die Suche nach Gruppen ist ähnlich wie die Benutzerstammsuche. Beispiel: ou=memberlist,ou=groups,o=example.com.
    13. Gruppensuchfilter: Der Filter für die Suche nach Gruppen ist ähnlich wie der Benutzersuchfilter. Standardmäßig werden alle Gruppe_eindeutiger_Namen (statische Gruppe), Gruppe_von_Namen (statische LDAP-Gruppe), Gruppe_von_URLs (dynamische LDAP-Gruppe), Gruppe (in Active Directory definierte Gruppe) nach dem vom Benutzer eingegebenen Suchbegriff durchsucht.
    14. URL-Schablone für Bilder: Normalerweise werden Bilder nicht in der LDAP-Registry, sondern an anderer Stelle gespeichert. Sie können das Bild eines Benutzers mithilfe einer URL abrufen, indem Sie diese Schablone so konfigurieren, dass das Bild gleichzeitig mit den Benutzerinformationen in der Registry abgerufen wird. In der Schablone gibt ${Eigenschaft} eine LDAP-objectClass-Eigenschaft des Benutzerobjekts an, das beim Abrufen des Bildes ersetzt werden soll. Beispielsweise hat für einen Benutzer mit der uid property=123456 die Standardschablone https://<ImageServer url>/photo/${uid}.jpg die URL https://<ImageServer URL>/photo/123456.jpg zur Folge.

Ergebnisse

Die Rational Asset Manager-Webanwendung ist jetzt korrekt für die Verwendung von LDAP für die Benutzerauthentifizierung und das Abrufen von Benutzerinformationen konfiguriert. Community-Administratoren können jetzt auf der Seite 'Benutzergruppen' für ihre Community Benutzergruppen an Gruppen in der LDAP-Registry binden. Wenn Sie Benutzer mithilfe von LDAP authentifizieren möchten, müssen Sie dies von der Administrationskonsole von WebSphere Application Server aus konfigurieren.
Anmerkung: Wenn Sie die LDAP-Authentifizierung verwenden und ein einzelner LDAP-Hostname mehreren IP-Adressen in Ihrer Netzkonfiguration zugeordnet ist, müssen Sie die Administrationskonsole von WebSphere Application Server verwenden, um die entsprechende Konfigurationseigenschaft anzuwenden und so zu verhindern, dass möglicherweise LDAP-Benutzeraccounts gesperrt werden, wenn Benutzer sich mit ungültigen Berechtigungsnachweisen bei Rational Asset Manager anmelden.

Eine ungültige Anmeldung hat zur Folge, dass der Server den Benutzer mit jeder IP-Adresse validiert und dies demzufolge mehrere Anmeldefehler zur Folge hat. Wenn Sie einen Maximalwert für die Anzahl Anmeldeversuche festgelegt haben, könnte eine einzige ungültige Anmeldung eine LDAP-Accountsperre zur Folge haben. Um dies zu verhindern, führen Sie die folgenden Schritte aus, die unter http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672 beschrieben sind.


Feedback