配置 Tomcat LDAPLocalGroup 領域

這個主題提供如何將 Tomcat 應用程式伺服器和 Jazz™ 應用程式,配置成使用 LDAP 目錄所包含的資訊來進行鑑別,以及使用本端檔案來管理授權與群組成員資格。

關於這項作業

為了支援使用 LDAP 來鑑別,以及使用本端檔案中的資訊來授權,您必須配置 LDAPLocalGroup 使用者登錄類型。請透過下列步驟,利用 LDAP 目錄所包含的使用者資訊來鑑別,以及利用本端群組對映檔所包含的資訊來授權。

程序

  1. 將 Tomcat 配置成使用 Jazz JNDI 領域,而不使用預設 JNDI 領域。開啟 <JazzInstallDir>/server/tomcat/conf/server.xml 來編輯,解除註解 com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm 區段,以及註銷 org.apache.catalina.realm.UserDatabaseRealm 區段。以 LDAP 目錄中的值來取代 connectionURLuserBaseuserSearch 中的值。
    <Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
                   connectionURL="ldap://ldapserver.example.com:389"
                   userBase="ou=users,dc=jazz,dc=net"
                   userSearch="(uid={0})"
                   userSubtree="true"
                   roleBase="ou=people,dc=xxx"
                   roleSubtree="false"
                   roleSearch="(memberNotAvailablexxx={0})"
                   roleName="cn"
    />
  2. GlobalNamingResources 之下,解除註解 "LocalRoleMap" 區段,以及註銷 "UserDatabase" 區段。GlobalNamingResources 定義伺服器的廣域 JNDI 資源。將 pathname 屬性設為檔案系統中的對映檔(CSV 格式)。
    <GlobalNameingResources>
    ...
    <Resource name="LocalRoleMap" auth="Container"
            type="com.ibm.team.repository.localgroups.IUserRoleMap"
            descripion="Role mapping file"
            factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
            pathname="/opt/JazzTeamServer/server/mapping.csv" />
    </GlobalNamingResources>
    以下是 mapping.csv 範例。Tomcat 會使用對映檔來判斷使用者的相關聯角色。
    user1,JazzUsers
    user2,[JazzAdmins; JazzDWAdmins]
    user3,JazzProjectAdmins
    user4,JazzGuests
    在上述範例中,user1 具備 JazzUsers 角色,user2 具備 JazzAdmins 和 JazzDWAdmins 角色。
  3. 將下列項目新增至 <JazzInstallDir>/server/tomcat/conf/Catalina/localhost/jts.xml,以容許 Jazz 應用程式取得廣域 JNDI 資源的存取權。
    <Context>
       <ResourceLink name="LocalRoleMap"
    				sslProtocol="SSL_TLS"
    						type="com.ibm.team.repository.localgroups.IUserRoleMap" />
    ...
    </Context>
    上述的變更可讓 Tomcat 應用程式伺服器使用 LDAP 目錄來鑑別,以及使用 mapping.csv 檔所呈現的資訊來授權。
  4. 如果伺服器支援 LDAP 同步化,必須變更 Jazz 應用程式中的登錄類型與設定,以便匯入使用者、將使用者同步化,以及檢視使用者的群組成員資格。請登入「伺服器管理」(https://hostname.example.com:9443/jts/admin)。
  5. 按一下伺服器 > 進階內容
  6. com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService 之下,按一下編輯,並將使用者登錄類型變更為 LDAPLocalGroup
    LDAPLocalGroup 使用者登錄類型
  7. com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider 之下,按一下編輯,然後設定 LDAPLocalGroup 登錄位置、基本使用者 DN,以及使用者屬性對映資訊。
    註: 這些配置內容有別於 LDAP 使用者登錄提供者的配置內容。
    LDAP 本端群組登錄提供者

意見