Использование IBM Tivoli Directory Server для управления учетными записями

Часть 1. Установка и настройка Tivoli Directory Server и Rational Build Forge

Comments

Серия контента:

Этот контент является частью # из серии # статей: Использование IBM Tivoli Directory Server для управления учетными записями

Следите за выходом новых статей этой серии.

Этот контент является частью серии:Использование IBM Tivoli Directory Server для управления учетными записями

Следите за выходом новых статей этой серии.

Использование единой точки аутентификации в значительной степени экономит время, затрачиваемое на администрирование системы. Для объединения нескольких систем в одно целое широко используется протокол LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к сетевым каталогам). Продукт IBM® Tivoli® Directory Server обеспечивает аутентификацию по протоколу LDAP и другим протоколам.

Некоторые программные продукты Rational требуют определенных мероприятий по обеспечению безопасности, в том числе использования протокола LDAP в качестве одного из вариантов аутентификации. В данной серии описывается установка Tivoli Directory Server для использования с консолью управления и агентом IBM® Rational® Build Forge®, IBM® Rational® ClearQuest® и IBM® Rational® RequisitePro®. Все приложения Rational будут настраиваться для использования с Tivoli Directory Server, а для тестирования данных конфигураций будут использоваться клиентские приложения.

Для изучения данной статьи необходимо, чтобы у вас уже был установлен сервер управления лицензиями IBM Flex License Server, позволяющий работать с программными продуктами Rational. Предполагается также, что вы обладаете базовыми знаниями по конкретным программным продуктам Rational. Установка всех продуктов осуществляется на платформе Microsoft® Windows®; при этом используются следующие версии приложений:

  • Tivoli Directory Server, версия 6.0
  • Rational Build Forge, версия 7.0.0.077
  • Rational ClearQuest, версия 7.0
  • Rational RequisitePro, версия 7.0

Первая статья серии начинается разделом о необходимых условиях установки и настройки Tivoli Directory Server. После того как сервер каталогов Tivoli будет готов к использованию в качестве серверной части системы, мы перейдем к установке компонентов консоли управления и агента Build Forge, а затем сконфигурируем Build Forge на использование нашего сервера LDAP.

Планируем установку

Хотя Tivoli Directory Server и Build Forge можно установить на одной и той же машине, лучше использовать две разные машины. Для установки Tivoli Directory Server версии 6.0 необходимо 2 Гбайт свободного дискового пространства; программа может быть установлена на одной из следующих платформ:

  • Microsoft Windows server версий 2003 Standard, Enterprise, Datacenter и R2 (32- и 64-разрядные)
  • IBM® AIX® версии 5.2 (уровень обслуживания 5 и выше) и 5.3 (технологический уровень 1 и выше)
  • Red Hat Enterprise Linux® 4 и 5 (32- и 64-разрядные Intel,® AMD, IBM® System z,™ IBM ®Power PC® и IBM® System i™);
  • SUSE Linux Enterprise Server 9 и 10 (32- и 64-разрядные Intel, AMD, IBM System z, IBM Power PC и IBM System i), Solaris 9 (SPARC) и 10 (SPARC и Windows Professional XP x64 Edition)
  • HP-UX 11i v2 (PA-RISC и Integrity)

Для установки Build Forge необходимо 2 Гбайт свободного дискового пространства и 1 Гбайт оперативной памяти. Продукт Build Forge Standard Edition может быть установлен на платформах Red Hat Enterprise Linux 3 и Windows 2000, Windows Server 2003 и Windows XP Pro. В Build Forge Enterprise Edition добавлена поддержка платформ Fedora Core 3 и Solaris 9 или более поздних версий.

  1. На компьютере с Tivoli Directory Server выберите имя пользователя, состоящее не более чем из 8 символов. Это имя предназначено для пользователя, который будет запускать сервер.
  2. При изучении этого примера используйте имя TDSAdmin.

Устанавливаем и настраиваем Tivoli Directory Server

Продукт Tivoli Directory Server имеет множество зависимостей, поэтому многие компоненты устанавливаются автоматически. Среди них можно назвать СУБД IBM®DB2®и сервер приложений IBM® WebSphere® Application Server. Хотя можно использовать другие версии указанных продуктов и даже другие продукты для управления базами данных и другие серверы приложений, в этом примере мы остановимся только на устанавливаемых по умолчанию версиях DB2 и WebSphere Application Server.

  1. Запустите установку Tivoli Directory Server. Когда появится диалоговое окно выбора устанавливаемых компонентов, выберите все компоненты, кроме Global Security Kit (GSKit).
Рисунок 1. Установка Tivoli Directory Server
image of Tivoli Directory Server workspace
image of Tivoli Directory Server workspace

Примечание
Компонент GSKit необходим только для добавления протоколов Secure Sockets Layer (SSL) и Transport Layer Security (TLS), которые в данной статье не рассматриваются.

  1. По завершении установки нажмите кнопку Finish, чтобы закрыть окно мастера установки.
  2. После этого автоматически запустится инструмент администрирования экземпляра сервера Server Instance Administration Tool. (Если этого не произошло, выберите из меню команды (Start (Пуск) > Programs (Программы) > IBM Tivoli Directory Server V6.0, а затем команду Install Administration Tool).
  3. Создайте новый экземпляр сервера каталогов.
    • В поле User name введите имя пользователя с правами администратора, которое вы указали в процессе установки: TDSAdmin.
    • В поле Install location выберите диск, на который хотите установить систему.
    • В поле Encryption seed string введите любую строку длиной не менее 12 символов.
Рисунок 2. Создание экземпляра сервера каталогов
image of Tivoli Directory Server workspace
image of Tivoli Directory Server workspace
  1. При установке Tivoli Directory Server автоматически устанавливается система управления базами данных IBM DB2. В качестве имени экземпляра DB2 используйте то же имя пользователя (рисунок 4), которое вы использовали в процессе установки: TDSAdmin (оно уже должно быть указано по умолчанию).
Рисунок 3. Имя экземпляра по умолчанию
image of Tivoli Directory Server workspace
image of Tivoli Directory Server workspace
  1. Установите флажки Configure admin DN and password и Configure database (рисунок 4).
Рисунок 4. Выбор admin DN и password
image of Tivoli Directory Server workspace
image of Tivoli Directory Server workspace
  1. DN (Distinguished Name, отличительное имя) - это уникальный идентификатор для записи LDAP. Оставьте в качестве имени DN cn=root и укажите пароль для данного экземпляра (рисунок 5). При создании нового экземпляра используйте системный идентификатор DB2, который вы создали, и укажите имя базы данных. Если база данных еще не существует, она будет создана в только что созданном экземпляре DB2.
Рисунок 5. Использование системного идентификатора (system ID) DB2
image of Tivoli Directory Server workspace
image of Tivoli Directory Server workspace

Закончив настройки в мастере установки, вы увидите новое окно, отражающее ход выполнения установки. На рисунке 6 показано, как должно выглядеть это окно в случае успешной установки.

Рисунок 6. Диалоговое окно хода выполнения установки
image of dialog box
image of dialog box
  1. Когда установка завершится, вы увидите, что в процессе установки были добавлены две новые службы (рисунок 7). Если они еще не запущены, запустите их.
Рисунок 7. Консоль Windows System Information (Информация о системе)
image of workspace
image of workspace

Конфигурируем сервер каталогов Tivoli Directory Server

Теперь самое время настроить конфигурацию Tivoli Directory Server при помощи инструмента Web Administration. Этот инструмент является надстройкой к серверу приложений WebSphere Application Server, который был автоматически установлен вместе с Tivoli Directory Server.

  1. Чтобы запустить экземпляр WebSphere Application Server, который будет использовать Tivoli Directory Server, откройте окно командной строки и выполните следующую команду:
    C:\Program Files\IBM\LDAP\V6.0\appsrv\bin>startServer.bat server1
  2. Если вы установили программу в другой каталог, то вместо пути по умолчанию введите путь к этому каталогу (рисунок 8).
Рисунок 8. Окно командной строки
image of command prompt workspace
image of command prompt workspace
  1. Теперь, когда сервер WebSphere Application Server запущен, вы можете вызвать инструмент Web Administration, открыв в Web-браузере на вашем сервере следующий URL:
    http://localhost:12100/IDSWebApp/IDSjsp/Login.jsp
  2. В качестве имени пользователя укажите superadmin, а в качестве пароля - secret. Это значения по умолчанию.
  3. В категории Console administration вы увидите ссылку Manage console servers. Нажмите на ней левой кнопкой мыши и добавьте к списку серверов сервер localhost; флажок Enable SSL encryption option должен быть снят (рисунок 9).
Рисунок 9. Добавление сервера localhost в список серверов консоли
image of web administration workspace
image of web administration workspace

После добавления localhost в список, он будет отображаться как один из серверов на странице входа.

  1. Войдите в систему сервера localhost; для этого завершите текущий сеанс, а затем выберите сервер localhost при следующем входе в систему. Если используются параметры по умолчанию, ваше имя administrator DN для localhost будет cn=root.
  2. Затем добавьте к серверу суффикс, выбрав команды Server Administration > Manage Server Properties, а затем Suffixes.
  3. Введите o=jke.ibm.com в поле suffix DN, нажмите кнопку Add, а затем кнопку OK.
  4. Теперь выберите Directory Management > Manage Entries и выделите в списке новый суффикс.
  5. Нажмите кнопку Add.

Теперь необходимо добавить запись для этого суффикса.

  1. Чтобы добавить запись для только что созданного суффикса, выберите команды Directory management > Add an entry > Add.
  2. В открывшемся окне Add an entry window выберите Organization из списка Structural object classes и нажмите кнопку Next. В открывшемся диалоговом окне Select auxiliary object classes нажмите кнопку Next, потому что в других объектных классах нет необходимости.
  3. В данном примере введите в поле Relative DN значение o=jke.ibm.com, а поле Parent DN оставьте незаполненным.
  4. Нажмите Finish.

Вы снова окажетесь в диалоговом окне Manage entries, в котором увидите только что добавленный суффикс в списке записей верхнего уровня.

  1. Добавьте organizationalUnit, не добавляя дополнительных объектных классов. Значение Relative DN должно быть ou=jke_us, а значение Parent DN - o=jke.ibm.com.
  2. Добавьте еще одну организационную единицу organizationalUnit в иерархии сервера jke_us, а для Relative DN. используйте значение ou=users. Эти новые суффиксы и организационные единицы дают нам возможность добавить пользователей.
  3. Теперь можно добавить пользователя Tivoli Directory Server; для этого перейдите к Directory Management > Manage Entries и далее к группам пользователей, выбрав suffix и units, а затем нажав кнопку Expand.
  4. Выделив organizationalUnit пользователя, добавьте элемент inetOrgPerson.
  5. На странице Enter the Attributes используйте атрибуты и значения из таблицы 1.
Таблица 1. Атрибуты и значения для ввода
АтрибутЗначение
Relative DN Cn=Cid I. Oreo
cnCid I. Oreo
Parent DN ou=users, ou=jke_us, o=jke.ibm.com
SnOreo
Given nameCid I.
Mailcio@us.jke.ibm.com
UidCio
userPasswordLdaptest
  1. Нажмите кнопку Finish.

Мы создали пользователя LDAP на сервере Tivoli Directory Server в новой организации.

Пользователям, которые выполняют вход при помощи сервера Tivoli Directory Server, необходим доступ к файлу ключей (keyfile) Tivoli Directory Server на сервере. Наша копия по умолчанию использует следующий путь:

C:\Program Files\IBM\LDAP\v6.0\etc\ldapkey.kdb
  1. Откройте общий доступ к этому каталогу, чтобы пользователи, выполняющие приложения на других машинах, могли видеть данный файл.

Резюме

Мы выполнили следующие задачи:

  • Установили и настроили Tivoli Directory Server.
  • В процессе установки Tivoli Directory Server были автоматически установлены DB2 и WebSphere Application Server.
  • Мы добавили запись пользователя на сервер и открыли доступ к файлу ключей (keyfile) Tivoli Directory Server.

Устанавливаем и настраиваем консоль управления и агент Build Forge

Мы установили систему Tivoli Directory Server, настроили ее и внесли в нее данные; теперь можно перейти к установке и настройке инструмента Build Forge, который будет использоваться для аутентификации. Если вы устанавливаете систему для выполнения ознакомительной версии или тестирования конкретной функции, возможно, вы захотите установить консоль управления Build Forge и один агент Build Forge на одной машине. Этих двух компонентов достаточно для работы системы Build Forge, поэтому вы сможете тестировать систему, не используя дополнительные машины. Обычно при рабочей установке системы консоль управления устанавливается на отдельной машине и осуществляет управление другими машинами, на которых установлены и настроены соответствующие версии агента.

  1. Запустите установку Build Forge management console и нажмите кнопку Next, когда она будет доступна (рисунок 10).
Рисунок 10. Установка Build Forge
image of Build Forge workspace
image of Build Forge workspace
  1. Примите условия лицензионного соглашения.
  2. Укажите каталог для установки и нажмите кнопку Next (рисунок 11).
Рисунок 11. Выбор установочного каталога
image of Build Forge workspace
image of Build Forge workspace
  1. Укажите порт сервера управления лицензиями (License Host port) (по умолчанию это порт 80).

Важно:
В нашем примере мы используем внешний сервер управления лицензиями. Если у вас нет внешнего сервера управления лицензиями для Build Forge, то вам необходимо выполнить развертывание такого сервера и сконфигурировать его после установки Build Forge. Подробную информацию об этом можно найти в документации Build Forge (см. раздел Ресурсы).

Рисунок 12. Выбор сервера управления лицензиями
image of Build Forge workspace
image of Build Forge workspace
  1. Если у вас еще нет базы данных, выберите опцию Use IBM Rational supplied database.

Примечание
Чтобы обеспечить корректную установку DB2, необходимо использовать учетную запись пользователя с правами администратора на локальной машине.

Альтернативный способ - подключиться к имеющейся базе данных (опция Connect to existing database), указав Datasource Name, Database Type (DB2, Oracle, MySQL, Sybase, SQLServer), Username и Password. Рекомендуется использовать базу данных по умолчанию из-за проблем лицензирования, которые иногда возникают с другими базами данных (см. рисунок 13):>

Рисунок 13. Выбор базы данных по умолчанию
image of Build Forge workspace
image of Build Forge workspace
  1. После завершения установки необходимо перезагрузить операционную систему.
  2. Если ядро Build Forge не запущено, запустите его.
  3. После этого необходимо запустить консоль управления. В качестве имени пользователя-администратора и пароля используется слово root.

Build Forge не требует, чтобы имя пользователя было заранее внесено в репозиторий системы. После того как будет указано корректное имя пользователя и предоставлены права, этот пользователь автоматически регистрируется в системе Build Forge. Единственные атрибуты, которые можно будет изменить после того, как пользователь зарегистрирован в системе, это временная зона, формат даты и параметры входа в систему консоли. Всей остальной информацией управляет каталог LDAP. Система Build Forge не будет использовать аутентификацию LDAP до тех пор, пока не создан хотя бы один домен LDAP.

Создаем домен LDAP

  1. Выполните вход в консоль управления Build Forge как пользователь admin (рисунок 14).
Рисунок 14. Вход в консоль управления Build Forge
image of Build Forge workspace
image of Build Forge workspace
  1. В навигационном меню слева выберите команду Administration (рисунок 15).
Рисунок 15. Выбор пункта Administration в Build Forge
image of Build Forge menu
  1. Во вложенном меню этой команды выберите пункт LDAP (рисунок 16).
Рисунок 16. Выбор команды администрирования LDAP
image of Build Forge menu
  1. Нажмите кнопку Add LDAP Domain в панели справа (рисунок 17).
Рисунок 17. Добавление сервера LDAP
image of Build Forge workspace
image of Build Forge workspace
  1. Введите информацию для сервера LDAP. Ниже представлена информация, необходимая для создания домена:
    • Domain Name: Укажите любое имя. Мы в этом примере использовали имя JKE_US. Обратите внимание на то, что наш сервер уже содержит три домена, в том числе и данный домен.
    • Host and Port (сервер и порт): <yourldapserver:389>
    • Search Base (поисковая база): <ou=users,ou=jke_us, o=jke.ibm.com>
    • Unique Identifier (уникальный идентификатор): <mail=%>
    • Display Name (отображаемое имя):<cn>
    • Distinguished Name (отличительное имя): <dn>
    • Group Unique Identifier (уникальный идентификатор группы): <mail=%>
  2. Сохраните домен LDAP.

Тестируем конфигурацию LDAP

В следующей части данной статьи рассказывается о том, как протестировать конфигурацию LDAP для домена в Build Forge. Кроме того, перечислены шаги, необходимые для аутентификации пользователя с учетной записью на сервере LDAP.

  1. В навигационном меню слева выберите команду Administration (рисунок 18).
Рисунок 18. Выбор команды администрирования LDAP
image of Build Forge workspace
  1. Во вложенном меню этой команды выберите пункт LDAP (рисунок 19).
Рисунок 19. Администрирование LDAP
image of Build Forge workspace
  1. Выберите домен (рисунок 20).
Рисунок 20. Выбор домена LDAP
image of Build Forge workspace
image of Build Forge workspace
  1. Нажмите кнопку Test LDAP Domain (рисунок 21).
Рисунок 21. Тестирование домена LDAP
image of Build Forge workspace
image of Build Forge workspace
  1. Подтвердите выполнение теста, нажав кнопку OK (рисунок 22).
Рисунок 22. Подтверждение теста
image of confirmation dialog box
image of confirmation dialog box
  1. Убедитесь, что тестирование домена началось. Build Forge запрашивает сервер LDAP, проверяя, что он может установить подключение с использованием предоставленной вами конфигурационной информации. Если тест завершится успешно, то рядом с кнопкой Test LDAP Domain появится символ галочки (рисунок 23).
Рисунок 23. Домен LDAP прошел тестирование
image of Build Forge workspace
image of Build Forge workspace
  1. Выполните выход из системы Build Forge (рисунок 24).
Рисунок 24. Вызов команды Logout
image of Build Forge workspace
  1. Выполните вход в систему Build Forge с учетной записью LDAP.
  2. Укажите действующие имя пользователя и пароль LDAP и домен JKE US (рисунок 25).
Рисунок 25. Вход в систему домена JKE US
image of Build Forge workspace
image of Build Forge workspace

Примечание
После первого входа система запоминает пользователей LDAP. Пользователи LDAP отображаются в списке пользователей только после того, как они хотя бы один раз вошли в систему.

Рисунок 26. Список пользователей LDAP
image of Build Forge workspace
image of Build Forge workspace

Мы успешно завершили установку Rational Build Forge и сконфигурировали систему на использование учетных записей, настроенных на сервере Tivoli Directory Server для аутентификации по протоколу LDAP.


Ресурсы для скачивания


Похожие темы


Комментарии

Войдите или зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Rational
ArticleID=389916
ArticleTitle=Использование IBM Tivoli Directory Server для управления учетными записями: Часть 1. Установка и настройка Tivoli Directory Server и Rational Build Forge
publish-date=05182009