Configurar el reino LDAPLocalGroup de Tomcat

Este tema proporciona instrucciones sobre cómo configurar el servidor de aplicaciones Tomcat y la aplicación Jazz para utilizar la información contenida en el directorio LDAP para la autenticación y un archivo local para gestionar la autorización y la pertenencia a grupos.

Acerca de esta tarea

Para soportar la autenticación utilizando LDAP y la autorización utilizando la información de un archivo local, debe configurar el tipo de registro de usuario LDAPLocalGroup. Utilice los pasos siguientes para autenticar utilizando la información de usuario contenida en el directorio LDAP y autorizar utilizando la información contenida en el archivo de correlación de grupo local.

Procedimiento

  1. Configure Tomcat para utilizar el reino JNDI de Jazz en lugar del reino JNDI predeterminado. Abra <JazzInstallDir>/server/tomcat/conf/server.xml para editar, elimine la marca de comentario de la sección com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm y comente la sección org.apache.catalina.realm.UserDatabaseRealm. Sustituya los valores en connectionURL, userBase y userSearch con los valores del directorio LDAP.
    <Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
                   connectionURL="ldap://ldapserver.example.com:389"
                   userBase="ou=users,dc=jazz,dc=net"
                   userSearch="(uid={0})"
                   userSubtree="true"
                   roleBase="ou=people,dc=xxx"
                   roleSubtree="false"
                   roleSearch="(memberNotAvailablexxx={0})"
                   roleName="cn" 
    />
  2. En GlobalNamingResources, elimine la marca de comentario de la sección "LocalRoleMap" y comente la sección "UserDatabase". GlobalNamingResources define los recursos JNDI globales para el servidor. Establezca el atributo de nombre de vía de acceso en un archivo de correlación (formato csv) en el sistema de archivos.
    <GlobalNameingResources>
    ...
    <Resource name="LocalRoleMap" auth="Container"
            type="com.ibm.team.repository.localgroups.IUserRoleMap"
            descripion="Role mapping file"
            factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
            pathname="/opt/JazzTeamServer/server/mapping.csv" />
    </GlobalNamingResources>
    A continuación, se proporciona un ejemplo de mapping.csv. Tomcat utilizará el archivo de correlaciones para determinar los roles asociados con los usuarios.
    user1,JazzUsers
    user2,[JazzAdmins; JazzDWAdmins]
    user3,JazzProjectAdmins
    user4,JazzGuests
    En el ejemplo anterior, user1 tiene el rol JazzUsers mientras que user2 tiene los roles JazzAdmins y JazzDWAdmins.
  3. Añada la siguiente entrada a <JazzInstallDir>/server/tomcat/conf/Catalina/localhost/jts.xml para permitir que la aplicación Jazz obtenga acceso al recurso JNDI global.
    <Context>
       <ResourceLink name="LocalRoleMap"
    			global="LocalRoleMap"
    			type="com.ibm.team.repository.localgroups.IUserRoleMap" />
    ...
    </Context>
    Los cambios listados más arriba permiten que el servidor de aplicaciones Tomcat se autentique utilizando el directorio LDAP y autorice utilizando la información presente en el archivo mapping.csv.
  4. Si el servidor soporta la sincronización de LDAP, el tipo de registro y los valores se deben cambiar en la aplicación Jazz para importar usuarios, sincronizar usuarios y ver la pertenencia a grupo de un usuario. Inicie la sesión en la administración de servidor (https://hostname.example.com:9443/jts/admin).
  5. Pulse Servidor > Propiedades avanzadas.
  6. En com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService, pulse Editar y cambie el tipo de registro de usuario a LDAPLocalGroup.
    Tipo de registro de usuario LDAPLocalGroup
  7. En com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider, pulse Editar y establezca la información de ubicación de registro LDAPLocalGroup, de DN de usuario base y de correlación de atributos de usuario.
    Nota: Estas propiedades de configuración son diferentes de las correspondientes al proveedor de registro de usuario LDAP.
    Proveedor de registro de grupo local LDAP

Comentarios