简化 Collaborative Lifecycle Management 应用程序的用户管理

集成 Jazz Team Server 与 Rational Directory Server

Rational Collaborative Lifecycle Management (CLM) 解决方案正成为许多组织的一个重要的产能工具。一些公司已经开始使用其他 IBM Rational 软件(比如 IBM Rational DOORS、Rational Change、Rational Synergy 或 Rational Focal Point),并使用 Rational Directory Server 提供目录服务。一些公司希望将他们的新的 CLM 设置与现有的 Rational Directory Server 相集成,以提供身份验证和用户管理等服务。本文将介绍如何逐步实现此目的。

Pranab Agarwal, 顾问软件工程师, IBM

http://www.ibm.com/developerworks/i/p-pagarwal.jpgPranab Agarwal 是 IBM Rational Directory Server 团队的一位高级开发人员。他在 IT 行业拥有超过 13 年的经验,担任过各种职位和职责,编写了大量在线产品文档、IBM 技术说明和其他技术材料,包括以前的一篇 developerWorks 文章 “备份 Rational 软件用户数据以实现快速灾难恢复。Pranab 拥有位于澳大利亚新南威尔士州的伍伦贡大学的工程研究硕士学位。



Navneet R. Srivastava, 资深软件工程师, IBM

http://www.ibm.com/developerworks/i/p-nsrivastava.jpgNavneet Srivastava 是 IBM Rational Directory Server 团队和 System Verification Team 的一位资深软件工程师。在 9 年的 IT 生涯中,他担任此职位超过 5 年。他的经验包括执行功能、系统、性能和自动化测试,在这些年中,他曾经负责为不同产品创建测试架构。他编写了不少技术说明和其他技术材料,参与撰写了 Rational Edge 文章 “PureCoverage 报表脚本:最大限度地利用您的覆盖率数据。Navneet 拥有印度贾坎德邦 Mesra in Ranchi 伯拉理工学院的工程硕士学位。



2013 年 10 月 28 日

简介

如果组织已经在网络基础架构中使用 IBM® Rational® Directory Server,那么您可能希望将它用于 Rational Collaborative Lifecycle Management (CLM) 解决方案中,以实现身份验证和用户管理。CLM 安装不支持目录服务器。为了解决此难题,Rational Directory Server 团队实现了一个扩展,该扩展可部署到任何现有的 Collaborative Lifecycle Management 环境中,以便使用 Rational Directory Server 提供目录服务。

本文将详细介绍以下过程:

  1. 安装和配置 Rational Directory Server。
  2. 安装用于 CLM 的 Rational Directory Server 扩展。
  3. 配置 IBM® WebSphere® Application Server 以启用 Rational Directory Server。
  4. 设置和配置 CLM。

先决条件

需要安装和配置以下应用程序:

  • IBM Rational Directory Server 5.2.1 或更高版本
  • IBM Rational Installation Manager 1.5.2 或更高版本
  • IBM WebSphere Application Server 7.0 with Fix Pack 23 或更高版本
  • Collaborative Lifecycle Management 3.0.1.1 或更高版本(配置为在 WebSphere Application Server 上运行)

集成这些服务器

重要事项:
请按这里给出的顺序执行这些步骤。

为 Rational Directory Server 组配置 Jazz 身份验证

对于 Jazz™ 身份验证,必须将 IBM® Rational Team Concert® 配置为连接到 Rational Directory Server。

准备目录服务器

  1. 在企业模式(corporate mode)下安装 Rational Directory Server, Version 5.2.1(Tivoli 的变体)。要获取帮助,请参阅信息中心中的 发行说明 - Rational Directory Server 5.2.1 (Tivoli)
  2. 在 Rational Directory Server 中创建一个公司分区,以连接到企业 LDAP 服务器。请参阅信息中心中的 创建分区 主题获取帮助。

在企业模式下,Rational Directory Server 可配置为与您的企业 LDAP 服务器相集成。这使得 Rational Directory Server 能够访问企业 LDAP 的用户对象和组。它们处于只读模式,因此数据无法以任何方式修改。在此模式下,本地用户和组也可以在 Rational Directory Server 中创建。来自企业 LDAP 服务器和 Rational Directory Server 的用户和组可供 Rational 软件用于身份验证和用户管理用途。

创建组的步骤

LDAP 服务器中必须包含一些组,Rational Team Concert 才能正常运行。这些组可能是 Rational Directory Server 的一部分,也可能在您组织的 LDAP 服务器中提供。如果该服务器中没有这些组,可执行以下步骤来创建它们:

  1. 以管理员身份登录到 Rational Directory Server。
  2. 展开 Groups 节点。
  3. 右键单击 RDS Groups,选择 Create Groups
  4. 创建以下 5 个组:
    • JazzAdmins
    • JazzDWAdmins
    • JazzGuestsJazzProjectAdmins
    • JazzUsers

创建所有这些组后,根据角色和职责向它们添加用户。

  1. 右键单击 RDS Groups 组中列出的 5 个组中的任何一个,选择 Properties,如图 1 所示。
图 1. Rational Directory Server 本地组
创建 RDS 本地组
  1. 搜索需要添加到此组中的用户名称(参见图 2 和图 3):
    1. 在 Properties 对话框窗口中,选择 Members 选项卡,然后单击 Add
    2. 打开 “Find users and groups” 对话框窗口后,输入要搜索的用户名,然后单击 Find
    3. 在列出用户名后,选择该用户名,然后单击 Assign
    4. 对此组中的剩余用户重复同样的步骤。
    5. 单击 OK,然后关闭该组视图。
图 2. 向一个组中添加成员
搜索 RDS Groups 的成员
图 3. 添加到一个组中的成员
向 RDS Groups 添加成员
  1. 对剩余的 4 个组重复这些步骤。

安装用于 Collaborative Lifecycle Management 的目录服务器扩展

下面的信息提供了安装、更新和卸载用于 Rational Collaborative Lifecycle Management 的 Rational Directory Server 扩展的基本步骤。在安装步骤中,需要回答两个问题。开始之前请务必阅读 “先决条件” 一节。

先决条件

如果首次安装用于 Collaborative Lifecycle Management 的 Rational Directory Server 扩展,请先执行以下任务:

  1. 验证服务器是否满足安装这些应用程序的最低硬件和软件要求。
  2. 安装 IBM Rational Installation Manager 1.5.2 或更高版本。有关的安装信息,请参阅 Installation Manager 考虑因素
  3. 安装 Collaborative Lifecycle Management 3.0.1.1 或更高版本。
  4. 验证 IBM WebSphere Application Server 7.0 with Fix Pack 23 或更高版本是否已安装。
  5. 配置 Collaborative Lifecycle Management 和 WebSphere Application Server。

重要事项:
要简化 IBM WebSphere Application Server 环境的配置,请确保 CLM 安装路径未包含任何空格。如果它已安装在包含空格的路径中,请在 IBM® WebSphere® Application Server 和 IBM® DB2® 数据库配置步骤中将每个空格替换为 %20

安装用于 CLM 的 Rational Directory Server 扩展

  1. 停止 IBM WebSphere Application Server。

    备注:需要使用 IBM WebSphere Application Server 管理员用户名和密码。
图 4. 停止 IBM WebSphere Application Server
停止 IBM WebSphere Application Server
  1. 用于 Collaborative Lifecycle Management 的 Rational Directory Server 扩展的安装包包含一个 .zip 文件。下载并解压该文件中的内容。
  2. 启动 IBM Installation Manager。为了确保安装成功,请删除 Installation Manager 的 Preferences 部分中的现有存储库,添加用于 Collaborative Lifecycle Management 的 Rational Directory Server 扩展的安装文件的绝对路径。例如:
    <已解压的文件夹的路径 >
    \RDSI\Disk1
  3. 单击 OK
  4. 单击 Install
  5. 在打开 Install Packages 窗口后,选择 Rational Directory Server extension for Collaborative Lifecycle Management
图 5. 安装 Rational Directory Server 扩展
Rational Directory Server 扩展安装程序
  1. 单击 Next
  2. 阅读并接受许可协议,然后单击 Next
  3. 接受默认的安装位置 (Jazz Team Server),然后单击 Next
图 6. 可安装的包
Installation Manager 中可用的包
  1. 接受要安装的已选功能,然后单击 Next
  2. 接受默认的 WebSphere Application Server 并提供安装的位置。
  3. 单击 Next
  4. 接受要安装的包,然后单击 Next
  5. 单击 Install 开始安装过程。
  6. 安装之后,单击 Finish
图 7. 安装确认
安装确认窗口
  1. 启动 WebSphere Application Server(需要管理员用户名和密码)。
图 8. 启动 IBM WebSphere Application Server
启动控制台显示

配置要连接到 Rational Directory Server 的 WebSphere Application Server LDAP 独立目录范围

完成此任务需要执行一些步骤:

  1. 配置独立的 LDAP 注册表。
  2. 配置 JVM 参数。
  3. 配置授权安全设置。
  4. 添加自定义属性。
  5. 停止并重新启动 WebSphere Application Server。

配置独立的 LDAP 注册表

  1. 使用 Web 浏览器以 WebSphere 管理用户身份登录到 Integrated Solutions Console as WebSphere。(URL 示例:https://<host>:9043/ibm/console。)
  2. 从应用服务器的管理控制台,单击 Security > Global Security
  3. 更新安全设置,如表 1 所示。
表 1. 全局安全设置
安全设置名称设置值
Enable administrative security Enable
Enable application security Enable
Java 2 security Disable
User account repository and available realm definitions Stand-alone LDAP registry

图 9 显示了 Global Security 页面设置。

图 9. 全局安全设置
全局安全对话框窗口
  1. 单击 Set as current,然后单击 Configure
  2. 提供一般属性和其他 LDAP 参数,如表 2 所示。
表 2. LDAP 设置
LDAP 设置名称设置值
Primary administrative user name 您的用户 ID DN(示例:uid=tdsadmin,ou=people,dc=telelogic,dc=com
Server user identity 自动生成的服务器身份
Host Rational Directory Server 的名称和 IP 地址
Port Rational Directory Server 运行时使用的端口号(示例:1389
Type of LDAP server Custom
Search timeout 120 秒
Base Distinguished Name (DN) dc=telelogic, dc=com
Bind Distinguished Name 用户的 ID DN,例如:
uid=tdsadmin, ou=people, dc=telelogic, dc=com
Bind password 上述用户的密码

指定设置后,结果屏幕将类似于图 10。

图 10. 一般 LDAP 属性
IBM WebSphere Application Server LDAP 属性
  1. 单击 Apply,然后保存更改。
  2. 在 configuration 部分中,单击 Test Connection
  3. 在 Additional Properties 部分中,单击 Advanced Lightweight Directory Access Protocol (LDAP) user registry settings
  4. 指定表 3 中给定的 General Properties 字段。
表 3. 高级 LDAP 设置
设置名称设置值
User filter (&(uid=%v)(objectclass=inetOrgPerson))
Group filter (&(cn=%v) (|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
User ID map *:uid
Group ID map *:cn
Group member ID map ibm-allGroups:member;ibm-allGroups:uniqueMember;
Perform a nested group search Unchecked
Kerberos filter search NA
Certificate map mode EXACT_DN
Certificate filter NA

图 11 显示了执行所有相关更改后的高级 LDAP 属性屏幕。

图 11. 高级 LDAP 属性
IBM WebSphere Application Server 高级 LDAP 属性
  1. 单击 Apply,然后保存更改。

创建一个 Java Authentication and Authorization Service 模块

  1. 在 Authentication 下,展开 Web and SIP security,然后单击 General Settings
  2. 在 Web authentication behavior 下,确保已选择了 Authenticate only when URI is protectedUse available authentication data when an unprotected URI is accessed
图 12. Web 安全性
WebSphere Application Server 对话框窗口
  1. 单击 Apply,保存每个屏幕,以确认每个设置页面。

    备注:
    在最后一页上,确保当前范围被设置为 Stand-alone LDAP registry。
  2. 要让更改生效,请从管理控制台重新启动 WebSphere Application Server。
  3. 重新启动后,使用 Web 浏览器以 WebSphere 管理用户身份登录到管理控制台来验证更改(URL 示例:https://<host>:9043/ibm/console)。

    备注:
    用户只可以使用 Rational Directory Server 用户凭据登录 WebSphere Application Server 管理控制台。确保主要管理用户名位于 Rational Directory Server 本地。

    示例:
    uid=tdsadmin, ou=people, dc=telelogic, dc=com
  4. 在 Global Security 页面上,展开 Java Authentication > Authorization Services > System Logins
  5. 选择 Web Inbound,然后单击 New 创建一个新登录模块。
  6. 配置新的 Rational Directory Server 登录模块:
    1. 将模块类名设置为 com.ibm.team.rds.jaas.RDSJAASLoginModule
    2. 选择 Login Proxy 复选框。
    3. 单击 New,添加 3 个新的自定义属性(参见表 4)。
表 4. 新登录模块的自定义属性
属性名属性值
java.naming.provider.url ldap://主机地址:1389
java.naming.security.principal tdsadmin
java.naming.security.credentials tdsadmin 的密码

完成新 RDSJAASLoginModule 的设置后,最终的显示结果将类似于图 13。

图 13. 自定义 JAAS 属性
WebSphere Application Server JAAS 属性
  1. 单击 Apply,然后单击 OK

您现在已经创建了一个新的 Rational Directory Server Java Authentication and Authorization Service (JAAS) 模块。

  1. 设置调用登录模块的顺序:
    1. 选择 Global Security > JAAS – System logins > WEB_INBOUND,并单击 Set order
    2. 选择 com.ibm.team.rds.jaas.RDSJAASLoginModule。
    3. 单击 Move Up 两次,将 Rational Directory Server 登录模块上移到顶部。

图 14 描绘了执行这些设置后的 JAAS Web Inbound 属性页面。

图 14. JAAS Web Inbound 属性
IBM WebSphere Application Server JAAS Web Inbound 属性
  1. 单击 ApplyOK

您现在应看到以下顺序的登录模块:

  • com.ibm.team.rds.jaas.RDSJAASLoginModule
  • com.ibm.ws.security.server.lm.ltpaLoginModule
  • com.ibm.ws.security.server.lm.wsMapDefaultInboundLoginModule

配置 Java 虚拟机自定义属性

创建一个系统属性(类似于在配置 Collaborative Lifecycle Management 时定义 JAAZ_HOME)。

  1. 要设置这些属性,可在 WebSphere Application Server Integrated Solutions Console 中选择 Servers > Server Types > WebSphere application servers > Server 1
  2. 在 Server Infrastructure 下,单击 Java and Process Management > Process Definition > Java Virtual Machine > Additional Properties > Custom Properties
  3. 单击 New,然后输入这些字段的信息:

    Property name:com.ibm.team.ldap.contextFactory

    Property value:com.ibm.jndi.rds.impl.RDSJNDIContextFactory

图 15 演示了这些更改的结果。

图 15. JVM 自定义属性
IBM WebSphere Application Server JVM 属性
  1. 要将用户组映射到特定应用程序,请单击 Applications > Application Types > WebSphere enterprise applications
  2. 在 Enterprise Applications 列表中,选择 jazz_war 应用程序,然后单击 Stop
  3. 当它停止时,单击 jazz_war 应用程序,打开它来编辑它。
  4. 在 Detail properties 部分中,单击 Security role to user/group mapping
  5. 选择一个特定的组,比如 JazzAdmins(或您选择的一个组),然后单击 Map groups
  6. 输入一个搜索字符串,以从 Rational Directory Server 返回您的组名称,然后单击 Search 运行查询。
  7. 从返回的 LDAP 响应选择一个组,将它移动到选定的列。
  8. 单击 OK
  9. 对剩余组重复第 8 到第 10 步:JazzProjectAdmins、JazzDWAdmins、JazzUsers 和 JazzGuests。

备注:
不要启用 All Authenticated 选项。

  1. 保存更改并重新启动 jazz_war 应用程序。
  2. 从管理控制台注销并关闭浏览器。
  3. 要让更改生效,请重新启动 WebSphere Application Server。

设置和配置 Collaborative Lifecycle Management

在配置 WebSphere Application Server 后,配置 Jazz Team Server。要获取帮助,请参阅 运行 Jazz Team Server Setup 向导

在设置页面上,执行以下步骤:

  1. 以 Rational Directory Server 管理用户身份登录(例如:tdsadmin)。
  2. 选择 LDAP 作为用户注册表提供程序,设置与 Rational Directory Server 对应的 LDAP 属性。参见表 5。
表 5. 针对 Rational Directory Server 的 LDAP 属性
LDAP 属性名称LDAP 属性值
LDAP Registry Location ldap://<主机名>:<IBM Rational Directory Server 的端口号>
User name uid=tdsadmin, ou=people, dc=telelogic, dc=com
Password tdsadmin 用户的密码
Base user DN ou=people, dc=telelogic, dc=com
User property names mapping userid=uid, name=cn, emailAddress=mail
Base group DN ou=Groups, dc=telelogic, dc=com
Group member property uniquemember

备注:
表 5 中未提到的属性需要保留默认值。

  1. 单击 Test Connection,然后前进到下一步来完成设置。
  2. 重新启动 Jazz Team Server。

后续步骤

  1. 使用 tdsadmin 用户凭据登录到 Jazz Team Server(例如 https://hostname:9443/jts/admin)。
  2. 执行以下步骤导入 tdsadmin 和其他用户:
    1. 单击 Users 选项卡。
    2. 打开 Users 页面时,单击 Import Users(位于右上角)。
    3. 在打开的 Import Users 对话框窗口中,搜索需要导入的用户。

      备注:
      可使用通配符字符(比如星号 (*))来搜索用户。
    4. 选择返回的用户,然后单击 Select
    5. 单击 OK 以导入选择的用户。选择的用户将显示在 Active Users 列表下。
  3. 配置已完成,所以您可以从管理区域退出。

参考资料

学习

获得产品和技术

  • 下载 Rational 软件的 免费试用版
  • 以最适合您的方式 评估 IBM 软件:通过下载获得一个试用版,在线试用它,或在云环境中使用它。

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Rational
ArticleID=950227
ArticleTitle=简化 Collaborative Lifecycle Management 应用程序的用户管理
publish-date=10282013