這個主題提供如何將 Tomcat 應用程式伺服器和 Jazz™ 應用程式,配置成使用 LDAP 目錄所包含的資訊來進行鑑別,以及使用本端檔案來管理授權與群組成員資格。
關於這項作業
為了支援使用 LDAP 來鑑別,以及使用本端檔案中的資訊來授權,您必須配置 LDAPLocalGroup 使用者登錄類型。請透過下列步驟,利用 LDAP 目錄所包含的使用者資訊來鑑別,以及利用本端群組對映檔所包含的資訊來授權。
程序
- 將 Tomcat 配置成使用 Jazz JNDI 領域,而不使用預設 JNDI 領域。開啟 <JazzInstallDir>/server/tomcat/conf/server.xml 來編輯,解除註解 com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm 區段,以及註銷 org.apache.catalina.realm.UserDatabaseRealm 區段。以 LDAP 目錄中的值來取代 connectionURL、userBase 和 userSearch 中的值。
<Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
connectionURL="ldap://ldapserver.example.com:389"
userBase="ou=users,dc=jazz,dc=net"
userSearch="(uid={0})"
userSubtree="true"
roleBase="ou=people,dc=xxx"
roleSubtree="false"
roleSearch="(memberNotAvailablexxx={0})"
roleName="cn"
/>
- 在 GlobalNamingResources 之下,解除註解 "LocalRoleMap" 區段,以及註銷 "UserDatabase" 區段。GlobalNamingResources 定義伺服器的廣域 JNDI 資源。將 pathname 屬性設為檔案系統中的對映檔(CSV 格式)。
<GlobalNameingResources>
...
<Resource name="LocalRoleMap" auth="Container"
type="com.ibm.team.repository.localgroups.IUserRoleMap"
descripion="Role mapping file"
factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
pathname="/opt/JazzTeamServer/server/mapping.csv" />
</GlobalNamingResources>
以下是 mapping.csv 範例。Tomcat 會使用對映檔來判斷使用者的相關聯角色。
user1,JazzUsers
user2,[JazzAdmins; JazzDWAdmins]
user3,JazzProjectAdmins
user4,JazzGuests
在上述範例中,user1 具備 JazzUsers 角色,user2 具備 JazzAdmins 和 JazzDWAdmins 角色。
- 將下列項目新增至 <JazzInstallDir>/server/tomcat/conf/Catalina/localhost/jts.xml,以容許 Jazz 應用程式取得廣域 JNDI 資源的存取權。
<Context>
<ResourceLink name="LocalRoleMap"
sslProtocol="SSL_TLS"
type="com.ibm.team.repository.localgroups.IUserRoleMap" />
...
</Context>
上述的變更可讓 Tomcat 應用程式伺服器使用 LDAP 目錄來鑑別,以及使用 mapping.csv 檔所呈現的資訊來授權。
- 如果伺服器支援 LDAP 同步化,必須變更 Jazz 應用程式中的登錄類型與設定,以便匯入使用者、將使用者同步化,以及檢視使用者的群組成員資格。請登入「伺服器管理」(https://hostname.example.com:9443/jts/admin)。
- 按一下。
- 在 com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService 之下,按一下編輯,並將使用者登錄類型變更為 LDAPLocalGroup。
- 在 com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider 之下,按一下編輯,然後設定 LDAPLocalGroup 登錄位置、基本使用者 DN,以及使用者屬性對映資訊。
註: 這些配置內容有別於 LDAP 使用者登錄提供者的配置內容。