本主题提供了有关如何配置 Tomcat 应用程序服务器和 Jazz™ 应用程序,以使用 LDAP 目录中包含的信息来进行认证以及使用本地文件来管理权限和组成员资格。
关于此任务
为了支持使用 LDAP 进行认证以及使用本地文件指定信息进行授权,您必须配置 LDAPLocalGroup 用户注册表类型。执行下列步骤以使用 LDAP 目录中包含的用户信息来进行认证,以及使用本地组映射文件中包含的信息来进行授权。
过程
- 配置 Tomcat 以使用 Jazz JNDI 域,而不使用缺省 JNDI 域。打开 <JazzInstallDir>/server/tomcat/conf/server.xml 以进行编辑,取消注释 com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm 部分,并注释掉 org.apache.catalina.realm.UserDatabaseRealm 部分。将 connectionURL、userBase 和 userSearch 中的值替换为 LDAP 目录中的值。
<Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
connectionURL="ldap://ldapserver.example.com:389"
userBase="ou=users,dc=jazz,dc=net"
userSearch="(uid={0})"
userSubtree="true"
roleBase="ou=people,dc=xxx"
roleSubtree="false"
roleSearch="(memberNotAvailablexxx={0})"
roleName="cn"
/>
- 在 GlobalNamingResources 下,取消注释 "LocalRoleMap" 部分,并注释掉 "UserDatabase" 部分。GlobalNamingResources 定义服务器的全局 JNDI 资源。将 pathname 属性设置为文件系统中的映射文件(csv 格式)。
<GlobalNameingResources>
...
<Resource name="LocalRoleMap" auth="Container"
type="com.ibm.team.repository.localgroups.IUserRoleMap"
descripion="Role mapping file"
factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
pathname="/opt/JazzTeamServer/server/mapping.csv" />
</GlobalNamingResources>
以下是 mapping.csv 的示例。Tomcat 将使用此映射文件来确定与用户相关联的角色。user1,JazzUsers
user2,[JazzAdmins; JazzDWAdmins]
user3,JazzProjectAdmins
user4,JazzGuests
在以上示例中,user1 具有 JazzUsers 角色,而 user2 具有 JazzAdmins 和 JazzDWAdmins 角色。
- 将以下条目添加至 <JazzInstallDir>/server/tomcat/conf/Catalina/localhost/jts.xml,以使 Jazz 应用程序能够访问全局 JNDI 资源。
<Context>
<ResourceLink name="LocalRoleMap"
global="LocalRoleMap"
type="com.ibm.team.repository.localgroups.IUserRoleMap" />
...
</Context>
以上所列示的更改允许 Tomcat 应用程序服务器使用 LDAP 目录进行认证以及使用 mapping.csv 文件中存在的信息来授权。
- 如果服务器支持 LDAP 同步,那么在 Jazz 应用程序中必须更改注册表类型和设置,以导入用户、使用户同步以及查看用户的组成员资格。登录到“服务器管理”(https://hostname.example.com:9443/jts/admin)。
- 单击。
- 在 com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService 下,单击编辑,并将用户注册表类型更改为 LDAPLocalGroup。
- 在 com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider 下,单击编辑,并设置 LDAPLocalGroup 注册表位置、基本用户 DN 和用户属性映射信息。
注: 这些配置属性与 LDAP 用户注册表提供程序的属性不同。