Tomcat-Realm LDAPLocalGroup konfigurieren

Dieser Artikel enthält Konfigurationsanweisungen. Er beschreibt, wie Tomcat Application Server und die Jazz-Anwendung für die Verwendung von Authentifizierungsinformationen aus dem LDAP-Verzeichnis und einer lokalen Datei zur Verwaltung von Berechtigungen und Gruppenmitgliedschaften konfiguriert werden kann.

Informationen zu diesem Vorgang

Sie müssen den Benutzer-Registry-Typ LDAPLocalGroup konfigurieren, wenn die Authentifizierung mit LDAP und die Berechtigung über Informationen in einer lokalen Datei unterstützt werden sollen. Führen Sie die folgenden Schritte aus, um eine Authentifizierung mit den Benutzerdaten im LDAP-Verzeichnis und Berechtigungen über Informationen in der Zuordnungsdatei der lokalen Gruppe zu ermöglichen.

Vorgehensweise

  1. Konfigurieren Sie Tomcat nicht für den JNDI-Standard-Realm, sondern für die Verwendung des Jazz-JNDI-Realms. Öffnen Sie <Jazz-Installationsverzeichnis>/server/tomcat/conf/server.xml zur Bearbeitung. Entfernen Sie das Kommentarzeichen für den Abschnitt com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm und setzen Sie den Abschnitt org.apache.catalina.realm.UserDatabaseRealm auf Kommentar. Ersetzen Sie die Werte von connectionURL, userBase und userSearch durch Werte Ihres LDAP-Verzeichnisses.
    <Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
                   connectionURL="ldap://ldapserver.example.com:389"
                   userBase="ou=users,dc=jazz,dc=net"
                   userSearch="(uid={0})"
                   userSubtree="true"
                   roleBase="ou=people,dc=xxx"
                   roleSubtree="false"
                   roleSearch="(memberNotAvailablexxx={0})"
                   roleName="cn" 
    />
  2. Löschen Sie unter GlobalNamingResources das Kommentarzeichen für den Abschnitt "LocalRoleMap" und setzen Sie den Abschnitt "UserDatabase" auf Kommentar. GlobalNamingResources definiert die globalen JNDI-Ressourcen für den Server. Setzen Sie das Attribut pathname auf eine Zuordnungsdatei (im CSV-Format) im Dateisystem.
    <GlobalNameingResources>
    ...
    <Resource name="LocalRoleMap" auth="Container"
            type="com.ibm.team.repository.localgroups.IUserRoleMap"
            descripion="Role mapping file"
            factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
            pathname="/opt/JazzTeamServer/server/mapping.csv" />
    </GlobalNamingResources>
    Nachfolgend sehen Sie ein Beispiel für eine Datei mapping.csv. Anhand der Zuordnungsdatei bestimmt Tomcat die den Benutzern zugewiesenen Rollen.
    user1,JazzUsers
    user2,[JazzAdmins; JazzDWAdmins]
    user3,JazzProjectAdmins
    user4,JazzGuests
    Im obigen Beispiel hat user1 die Rolle JazzUsers und user2 die Rollen JazzAdmins sowie JazzDWAdmins.
  3. Fügen Sie den folgenden Eintrag zu <Jazz-Installationsverzeichnis>/server/tomcat/conf/Catalina/localhost/jts.xml hinzu, damit die Jazz-Anwendung auf die globale JNDI-Ressource zugreifen kann.
    <Context>
       <ResourceLink name="LocalRoleMap"
    			global="LocalRoleMap"
    			type="com.ibm.team.repository.localgroups.IUserRoleMap" />
    ...
    </Context>
    Durch die oben aufgeführten Änderungen kann der Tomcat Application Server die Authentifizierung mittels LDAP-Verzeichnis durchführen und für Berechtigungen die Informationen in der Datei mapping.csv nutzen.
  4. Wenn der Server die LDAP-Synchronisation unterstützt, müssen der Registry-Typ und die Einstellungen in der Jazz-Anwendung so geändert werden, dass Benutzer importiert und synchronisiert werden und die Gruppenzugehörigkeit eines Benutzers angezeigt wird. Melden Sie sich bei der Serververwaltung an (https://hostname.example.com:9443/jts/admin).
  5. Klicken Sie auf Server > Erweiterte Eigenschaften.
  6. Klicken Sie unter com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService auf Bearbeiten und setzen Sie den Benutzer-Registry-Typ auf LDAPLocalGroup.
    Benutzer-Registry-Typ LDAPLocalGroup
  7. Klicken Sie unter com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider auf Bearbeiten und legen Sie für LDAPLocalGroup die Registry-Position, den Basis-DN für Benutzer und Zuordnungsinformationen für Benutzerattribute fest.
    Anmerkung: Diese Konfigurationseigenschaften sind andere als die des LDAP-Benutzer-Registry-Providers.
    Registry-Provider für lokale LDAP-Gruppe

Feedback