このトピックでは、LDAP ディレクトリーの情報を認証用に使用し、ローカル・ファイルの情報を権限およびグループ・メンバーシップの管理用に使用するように Tomcat アプリケーション・サーバーと Jazz™ アプリケーションを構成する方法を説明します。
このタスクについて
LDAP を使用した認証とローカル・ファイルの情報を使用した許可に対応するには、LDAPLocalGroup ユーザー・レジストリー・タイプを構成する必要があります。LDAP ディレクトリーのユーザー情報を使用して認証を実行し、ローカル・グループ・マッピング・ファイルの情報を使用して許可を実行するには、以下の手順に従います。
手順
- デフォルトの JNDI レルムではなく Jazz JNDI レルムを使用するように Tomcat を構成します。<JazzInstallDir>/server/tomcat/conf/server.xml を編集用に開き、com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm セクションのコメントを外し、org.apache.catalina.realm.UserDatabaseRealm セクションをコメント化します。connectionURL、userBase、
および userSearch の値を LDAP ディレクトリーの値に置き換えます。
<Realm className="com.ibm.team.repository.localgroups.realm.LocalMappingJNDIRealm"
connectionURL="ldap://ldapserver.example.com:389"
userBase="ou=users,dc=jazz,dc=net"
userSearch="(uid={0})"
userSubtree="true"
roleBase="ou=people,dc=xxx"
roleSubtree="false"
roleSearch="(memberNotAvailablexxx={0})"
roleName="cn"
/>
- GlobalNamingResources の "LocalRoleMap" セクションのコメントを外し、"UserDatabase" セクションをコメント化します。
GlobalNamingResources は、サーバーのグローバル JNDI リソースを定義します。pathname 属性に、ファイル・システムのマッピング・ファイル (CSV フォーマット) を設定します。
<GlobalNameingResources>
...
<Resource name="LocalRoleMap" auth="Container"
type="com.ibm.team.repository.localgroups.IUserRoleMap"
descripion="Role mapping file"
factory="com.ibm.team.repository.localgroups.realm.RoleMappingResourceFactory"
pathname="/opt/JazzTeamServer/server/mapping.csv" />
</GlobalNamingResources>
mapping.csv の例を以下に示します。
このマッピング・ファイルは、ユーザーに関連付けられているロールを Tomcat が判別する際に使用します。
user1,JazzUsers
user2,[JazzAdmins; JazzDWAdmins]
user3,JazzProjectAdmins
user4,JazzGuests
上記の例では、user1 には JazzUsers ロールが割り当てられており、user2 には JazzAdmins および JazzDWAdmins ロールが割り当てられています。
- Jazz アプリケーションがグローバル JNDI リソースにアクセスできるようにするため、以下のエントリーを <JazzInstallDir>/server/tomcat/conf/Catalina/localhost/jts.xml に追加します。
<Context>
<ResourceLink name="LocalRoleMap"
global="LocalRoleMap"
type="com.ibm.team.repository.localgroups.IUserRoleMap" />
...
</Context>
上記に示す変更により、Tomcat アプリケーション・サーバーは LDAP ディレクトリーを使用した認証と、mapping.csv ファイルの情報を使用した許可を実行できるようになります。
- サーバーで LDAP 同期がサポートされている場合、ユーザーのインポート、ユーザーの同期、およびユーザーのグループ・メンバーシップの表示のために、Jazz アプリケーションでレジストリーのタイプと設定を変更する必要があります。
サーバー管理 (https://hostname.example.com:9443/jts/admin) にログオンします。
- をクリックします。
- com.ibm.team.repository.service.jts.internal.userregistry.ExternalUserRegistryInternalService で「編集」をクリックし、ユーザー・レジストリー・タイプを LDAPLocalGroup に変更します。
- com.ibm.team.repository.userregistry.provider.ldaplocalgroup.LDAPLocalGroupRegistryProvider で「編集」をクリックし、LDAPLocalGroup レジストリーのロケーション、基本ユーザー DN、およびユーザー属性マッピング情報を設定します。
注: これらの構成プロパティーは、LDAP ユーザー・レジストリー・プロバイダーのプロパティーとは異なります。