Wenn Sie die Tomcat-Konfigurationsdateien mit dem Setup-Assistenten für Jazz Team Server erstellt haben, ist dieser Prozess bereits automatisch ausgeführt worden. In dem Fall
müssen Sie den Webcontainer nicht konfigurieren.
Informationen zu diesem Vorgang
Falls Sie den Webcontainer für LDAP lieber manuell in
Apache Tomcat konfigurieren möchten, gehen Sie wie folgt vor:
Vorgehensweise
- Öffnen Sie die Datei Jazz-Installationsverzeichnis/server/tomcat/conf/server.xml zur Bearbeitung und geben Sie das folgende Tag
in einem Kommentar an:
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"
digest="SHA-1"
digestEncoding="UTF-8"/>
- Fügen Sie je nach verwendetem Verzeichnis eines der folgenden Tags hinzu:
Fügen Sie das folgende Tag für Oracle Internet Directory (OID) hinzu und passen Sie die Angaben an Ihre Konfiguration an:
<Realm className="org.apache.catalina.realm.JNDIRealm"
debug="99"
connectionURL="ldap://ldap.company.com:389"
roleBase="cn=Groups,dc=company,dc=com"
roleSearch="(uniquemember={0})"
roleName="cn"
userBase="cn=Users,dc=company,dc=com"
userSearch="(uid={0})"/>
Fügen Sie das folgende Tag für Microsoft Active Directory hinzu und passen Sie die Angaben an Ihre Konfiguration an:
<Realm className="org.apache.catalina.realm.JNDIRealm"
debug="99"
connectionURL="ldap://ldap.company.com:3268"
authentication="simple"
referrals="follow"
connectionName="cn=LDAPUser,ou=Service Accounts,dc=company,dc=com"
connectionPassword="VerySecretPassword"
userSearch="(sAMAccountName={0})"
userBase="dc=company,dc=com"
userSubtree="true"
roleSearch="(member={0})"
roleName="cn"
roleSubtree="true"
roleBase="dc=company,dc=com"/>
Fügen Sie das folgende Tag für Tivoli Directory Server hinzu und passen Sie die Angaben an Ihre Konfiguration an:
<RealmclassName="org.apache.catalina.realm.JNDIRealm"
debug="9"
connectionURL="ldap://<Maschine auf der TDS installiert ist>:389"
userBase="o=company.com"
userSearch="(mail={0})"
userSubtree="true"
roleBase="o=company.com"
roleSubtree="true"
roleSearch="(member={0})"
roleName="cn"/>
- Öffnen Sie die Datei Jazz-Installationsverzeichnis/server/tomcat/webapps/Anwendungsname/WEB-INF/web.xml zur Bearbeitung.
Anwendungsname steht hier für die installierte Anwendung, z. B. jts, ccm, qm oder rm.
- In der geöffneten Datei müssen Sie die Sicherheitsrollenverweise mit den Sicherheitsrollen verlinken:
<web-app id="WebApp">
<servlet id="bridge">
<servlet-name>equinoxbridgeservlet</servlet-name>
<display-name>Equinox Bridge Servlet</display-name>
<description>Equinox Bridge Servlet</description>
<servlet-class>org.eclipse.equinox.servletbridge.BridgeServlet</servlet-class>
<init-param><!-- ... --></init-param>
<!-- ... -->
<load-on-startup>1</load-on-startup>
<!-- Anmerkung:
Wenn die Namen Ihrer LDAP-Gruppen den Standard-Jazz-Rollen entsprechen,
müssen die folgenden Tags nicht hinzugefügt werden.
-->
<security-role-ref>
<role-name>JazzAdmins</role-name>
<role-link>[LDAP-Gruppe für Jazz-Administratoren]</role-link>
</security-role-ref>
<security-role-ref>
<role-name>JazzDWAdmins</role-name>
<role-link>[LDAP-Gruppe für Jazz-Data-Warehouse-Administratoren]</role-link>
</security-role-ref>
<security-role-ref>
<role-name>JazzGuests</role-name>
<role-link>[LDAP-Gruppe für Jazz-Gäste]</role-link>
</security-role-ref>
<security-role-ref>
<role-name>JazzUsers</role-name>
<role-link>[LDAP-Gruppe für Jazz-Benutzer]</role-link>
</security-role-ref>
<security-role-ref>
<role-name>JazzProjectAdmins</role-name>
<role-link>[LDAP-Gruppe für Jazz-Projektadministratoren]</role-link>
</security-role-ref>
</servlet>
<!-- ... -->
</web-app>
Verwenden Sie die folgenden Tags zum Deklarieren der LDAP-Gruppen als Sicherheitsrollen:
<web-app id="WebApp">
<servlet id="bridge">
<!-- ... -->
<security-role>
<role-name>JazzAdmins</role-name>
<role-name>JazzDWAdmins</role-name>
<role-name>JazzGuests</role-name>
<role-name>JazzUsers</role-name>
<role-name>JazzProjectAdmins</role-name>
<!-- Anmerkung:
Wenn die Namen Ihrer LDAP-Gruppen den Standard-Jazz-Rollen entsprechen,
müssen die folgenden Tags nicht hinzugefügt werden.
-->
<role-name>[LDAP-Gruppe für Jazz-Administratoren]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Data-Warehouse-Administratoren]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Gäste]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Benutzer]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Projektadministratoren]</role-name>
<!-- Ende der Anmerkung -->
</security-role>
<!-- ... -->
</web-app>
Verwenden Sie die folgenden Tags, um den Abschnitt "security-constraint" zu aktualisieren:
<web-app id="WebApp">
<!-- ... -->
<security-constraint>
<web-resource-collection>
<web-resource-name>secure</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>JazzUsers</role-name>
<role-name>JazzAdmins</role-name>
<role-name>JazzGuests</role-name>
<role-name>JazzDWAdmins</role-name>
<role-name>JazzProjectAdmins</role-name>
<!-- Anmerkung:
Wenn die Namen Ihrer LDAP-Gruppen den Standard-Jazz-Rollen entsprechen,
müssen die folgenden Tags nicht hinzugefügt werden.
-->
<role-name>[LDAP-Gruppe für Jazz-Administratoren]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Data-Warehouse-Administratoren]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Gäste]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Benutzer]</role-name>
<role-name>[LDAP-Gruppe für Jazz-Projektadministratoren]</role-name>
<!-- Ende der Anmerkung -->
</auth-constraint>
<user-data-constarint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- ... -->
</web-app>
Verwenden Sie dieselbe Anmerkung für jeden Abschnitt "security-constraint", indem Sie auf eine
Jazz-Gruppe verweisen:
<web-app id="WebApp">
<!-- ... -->
<security-constraint>
<web-resource-collection>
<web-resource-name>adminsecure</web-resource-name>
<url-pattern>/admin/cmd/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>JazzAdmins</role-name>
<!-- Anmerkung -->
<role-name>[LDAP-Gruppe für Jazz-Administratoren]</role-name>
<!-- Ende der Anmerkung -->
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- ... -->
</web-app>