Tomcat LDAPLocalGroup レルムの構成

このトピックでは、LDAP ディレクトリーの情報を認証用に使用し、ローカル・ファイルの情報を権限およびグループ・メンバーシップの管理用に使用するように Tomcat アプリケーション・サーバーと Jazz™ アプリケーションを構成する方法を説明します。

このタスクについて

LDAP を使用した認証とローカル・ファイルの情報を使用した許可に対応するには、LDAPLocalGroup ユーザー・レジストリー・タイプを構成する必要があります。LDAP ディレクトリーのユーザー情報を使用して認証を実行し、ローカル・グループ・マッピング・ファイルの情報を使用して許可を実行するには、以下の手順に従います。

手順

  1. デフォルトの JNDI レルムではなく Jazz JNDI レルムを使用するように Tomcat を構成します。<JazzInstallDir>/server/tomcat/conf/server.xml を編集用に開き、com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm セクションのコメントを外し、org.apache.catalina.realm.UserDatabaseRealm セクションをコメント化します。connectionURLuserBase、 および userSearch の値を LDAP ディレクトリーの値に置き換えます。
    <Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
                   connectionURL="ldap://ldapserver.example.com:389"
                   userBase="ou=users,dc=jazz,dc=net"
                   userSearch="(uid={0})"
                   userSubtree="true"
                   roleBase="ou=people,dc=xxx"
                   roleSubtree="false"
                   roleSearch="(memberNotAvailablexxx={0})"
                   roleName="cn"
    />
  2. GlobalNamingResources"LocalRoleMap" セクションのコメントを外し、"UserDatabase" セクションをコメント化します。 GlobalNamingResources は、サーバーのグローバル JNDI リソースを定義します。pathname 属性に、ファイル・システムのマッピング・ファイル (CSV フォーマット) を設定します。
    <GlobalNameingResources>
    ...
    <Resource name="LocalRoleMap" auth="Container"
            type="com.ibm.team.repository.localgroups.IUserRoleMap"
            descripion="Role mapping file"
            factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
            pathname="/opt/JazzTeamServer/server/mapping.csv" />
    </GlobalNamingResources>
    mapping.csv の例を以下に示します。 このマッピング・ファイルは、ユーザーに関連付けられているロールを Tomcat が判別する際に使用します。
    user1,JazzUsers
    user2,[JazzAdmins; JazzDWAdmins]
    user3,JazzProjectAdmins
    user4,JazzGuests
    上記の例では、user1 には JazzUsers ロールが割り当てられており、user2 には JazzAdmins および JazzDWAdmins ロールが割り当てられています。
  3. Jazz アプリケーションがグローバル JNDI リソースにアクセスできるようにするため、以下のエントリーを <JazzInstallDir>/server/tomcat/conf/Catalina/localhost/jts.xml に追加します。
    <Context>
       <ResourceLink name="LocalRoleMap"
    			global="LocalRoleMap"
    			type="com.ibm.team.repository.localgroups.IUserRoleMap" />
    ...
    </Context>
    上記に示す変更により、Tomcat アプリケーション・サーバーは LDAP ディレクトリーを使用した認証と、mapping.csv ファイルの情報を使用した許可を実行できるようになります。
  4. サーバーで LDAP 同期がサポートされている場合、ユーザーのインポート、ユーザーの同期、およびユーザーのグループ・メンバーシップの表示のために、Jazz アプリケーションでレジストリーのタイプと設定を変更する必要があります。 サーバー管理 (https://hostname.example.com:9443/jts/admin) にログオンします。
  5. 「サーバー」 > 「拡張プロパティー」をクリックします。
  6. com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService「編集」をクリックし、ユーザー・レジストリー・タイプを LDAPLocalGroup に変更します。
    LDAPLocalGroup
ユーザー・レジストリー・タイプ
  7. com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider「編集」をクリックし、LDAPLocalGroup レジストリーのロケーション、基本ユーザー DN、およびユーザー属性マッピング情報を設定します。
    注: これらの構成プロパティーは、LDAP ユーザー・レジストリー・プロバイダーのプロパティーとは異なります。
    LDAP ローカル・グループ・レジストリー・プロバイダー

フィードバック