Configurando a Integração do LDAP

O Rational Asset Manager pode integrar-se aos repositórios do Lightweight Directory Access Protocol (LDAP) para executar autenticação do usuário, recuperar informações do usuário e utilizar ligações do grupo.

Antes de Iniciar

Você deve ter permissão de administrador de repositório para desempenhar essas etapas. Você também deverá estar familiarizado com o esquema LDAP do registro a ser utilizado.

Procedimento

  1. Efetue login no aplicativo da Web Rational Asset Manager.
  2. Abra a página de Administração.
  3. Em Administração do Repositório, clique em Configuração.
  4. Na seção Registro do Usuário Customizado, selecione a caixa "Utilizar um Registro do Usuário Customizado".
  5. Se você planeja utilizar uma classe customizada para integrar-se a um registro do usuário customizado, forneça o caminho de classe completo, caso contrário, utilize a classe padrão.
  6. Digite o ID de login de um usuário que terá permissão de administrador para acessar o Rational Asset Manager. (Se você não configurar um administrador válido, não poderá efetuar login no aplicativo da Web do Rational Asset Manager como administrador e não poderá configurá-lo.)
  7. Clique em Configurar.
  8. Na página Configuração de Classe do Usuário Customizado, preencha o formulário para configurar o relacionamento entre o Rational Asset Manager e o esquema de registro do LDAP. Se você deixar um campo de texto em branco, ele será revertido para o valor padrão. Para que um valor seja nulo, digite um espaço (" ").
    1. URL do Servidor LDAP: O URL para o servidor LDAP, por exemplo, ldap://<url>:389. Para obter uma comunicação segura, utilize ldaps://<url>:636.
    2. Nome Distinto do Usuário: Um nome de usuário a ser utilizado para efetuar login no registro para obter acesso. Digite o nome distinto do usuário, por exemplo, uid=123456,c=us,ou=exampleorganization,o=example.com.
    3. Senha do Usuário: A senha do usuário acima.
    4. Propriedade ID Exclusivo do Usuário: O nome da propriedade da instância objectClass do usuário que representa o ID exclusivo. Por exemplo: propriedade (objectClass) person's serialNumber ou a propriedade (objectClass) user's sAMAccountName.
    5. Propriedade ID de Login do Usuário: A propriedade (objectClass) utilizada por um usuário para efetuar login. Embora seja comum que o ID exclusivo e o ID de login sejam os mesmos, é possível que o registro possa ser configurado para que um usuário efetue login utilizando outro ID (por exemplo, usando um endereço de e-mail). Observe que o proprietário do ID de login deve ser o mesmo que o ID de login de usuário na Etapa 6.
    6. Propriedade Número de Telefone do Usuário: A propriedade (objectClass) que representa o número de telefone do usuário. Por exemplo: propriedade (objectClass) person's telephonenumber.
    7. Propriedade E-mail do Usuário: A propriedade (objectClass) que representa o endereço de e-mail do usuário. Por exemplo: propriedade (objectClass) person's mail.
    8. Propriedade Nome de Exibição do Usuário: A propriedade (objectClass) que representa o nome do usuário para a exibição na interface. Por exemplo: propriedade (objectClass) person's cn.
    9. Propriedade do Código de Idioma: A propriedade do (objectClass) representando a configuração de idioma de e-mail do usuário. Por exemplo: propriedade (objectClass) person's language. Se você deixar o campo em branco, ele reverterá ao valor padrão e os usuários podem gerenciar sua configuração de idioma do e-mail em MyDashboard > Editar. Se o campo for configurado, o valor de idioma LDAP será usado. Se o valor for um idioma suportado no Rational Asset Manager (como as, de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr e ru), o usuário será configurado com esse idioma. Se o valor não for válido (ou não existir em LDAP), en (English - Inglês) será usado.
    10. Procura de base do Usuário LDAP: Para evitar procurar em partes do registro que não contenham objetos do usuário, digite o valor do caminho da raiz a partir de onde iniciar a procura. Por exemplo, ou=exampleorganization,o=example.com.
    11. Filtro de procura do usuário: O modelo a ser utilizado ao procurar um usuário. O %v representa o termo de procura digitado a partir de um campo de texto de entrada. A procura será executada como se um curinga estivesse anexado ao termo de procura. O modelo de procura padrão é construído para localizar todas as objectClasses person, em que a propriedade mail ou a propriedade name é a mesma que o termo de procura.
    12. Procura base do Grupo LDAP: Semelhante a uma procura base, esta é a procura base para a procura de grupos. Por exemplo, ou=memberlist,ou=groups,o=example.com.
    13. Filtro de procura do grupo: Semelhante ao filtro baseado no usuário, este é o filtro para a procura de grupos. As procuras padrão, qualquer uma de groupOfUniqueNames (grupo estático), groupOfNames (grupo LDAP estático), groupOfUrls (grupo LDAP dinâmico), group (grupo definido pelo Active Directory) do termo de procura digitado pelo usuário.
    14. Modelo de URL da Imagem: É comum armazenar imagens em alguma outra parte que não um registro LDAP. É possível recuperar a imagem de usuário usando um URL ao configurar esse modelo para recuperar a imagem ao mesmo tempo das informações sobre o usuário no registro. No modelo, ${property} representa uma propriedade objectClass do LDAP do objeto do usuário que será substituído quando a imagem for recuperada. Por exemplo, para um usuário com um uid property=123456, o modelo padrão https://<ImageServer url>/photo/${uid}.jpg resultará na URL https://<ImageServer URL>/photo/123456.jpg.

Resultados

O aplicativo da Web Rational Asset Manager está agora configurado adequadamente para usar o LDAP para autenticação do usuário e recuperação de informações do usuário. Os administradores de comunidades podem agora ligar grupos de usuários a grupos no registro LDAP na página Grupos de Usuários de sua comunidade. Se você quiser autenticar usuários utilizando o LDAP, deve configurá-lo no console administrativo do WebSphere Application Server.
Nota: Se você estiver usando a autenticação LDAP e um único nome do host LDAP for mapeado para vários endereços IP na sua configuração de rede, será necessário usar o console administrativo do WebSphere Application Server para aplicar a propriedade de configuração apropriada para evitar possíveis bloqueios de conta do usuário LDAP, caso os usuários efetuem login no Rational Asset Manager com credenciais inválidas.

Um login inválido faz com que o servidor valide o usuário em cada endereço IP, causando, assim, várias falhas de login. Se você tiver configurado um número máximo de tentativas de login, um login inválido poderá causar um bloqueio de conta LDAP. Para evitar que esse problema ocorra, siga essas etapas descritas aqui: http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672


Feedback