Configuration des paramètres Active Directory

Vous pouvez configurer IBM® DevOps Test Virtualization Control Panel (Test Virtualization Control Panel) utiliser le modèle de sécurité Active Directory en utilisant Installation Manager lors de l'installation ou en utilisant le Modifier option après l'installation. Vous pouvez également spécifier les paramètres en modifiant manuellement lesecurity.config déposer.

Création de plusieurs configurations Active Directory

Lorsque vous activez Test Virtualization Control Panel pour utiliser Active Directory, vous pouvez avoir plusieurs configurations en définissant le configuration count propriété sur le Installation Manager Interface graphique. Chaque configuration peut pointer vers un domaine Active Directory différent (éventuellement, sur un serveur Active Directory différent).

Note:

Les domaines Active Directory sont complètement différents des Test Virtualization Control Panel domaines.

Lorsque vous configurez le modèle de sécurité Active Directory en modifiant le fichier security.config, une deuxième configuration est ajoutée en ajoutant .1 à la fin de chaque nom de propriété, .2 pour la troisième configuration, et ainsi de suite. Par exemple, si url est la propriété qui définit l'URL de la première configuration, url.1 le définit pour la seconde, url.2 pour le troisième, et ainsi de suite.

Spécification des noms d'utilisateur lors des connexions

Lors de la connexion à Test Virtualization Control Panel, précisez uniquement votre nom d'utilisateur si vous faites partie de la première configuration (domaine Active Directory). Pour toutes les autres configurations, précisez votre nom d'utilisateur au format suivant : domain\username.

Configuration de domaines Active Directory

Toutes les configurations doivent avoir le domain ensemble de propriétés ; sinon, ils ne seront pas utilisés. Si les propriétés sont omises dans les configurations supplémentaires, elles prennent par défaut la valeur définie dans la première configuration.
Chaque configuration Active Directory doit concerner un domaine Active Directory spécifique qui détient un nom unique parmi un ensemble de domaines Active Directory avec lesquels Test Virtualization Control Panel est configuré. Cette exigence reste vraie même si les domaines Active Directory se trouvent sur des serveurs différents. Par exemple, vous ne pouvez pas avoir deux configurations pour un seul domaine Active Directory appelé DOMAIN qui se trouvent sur des serveurs différents ou sur le même serveur avec des valeurs différentes définies pour les autres propriétés.

Modification dusecurity.config déposer

Lesecurity.config le fichier se trouve dans lesecurity dossier dans le Test Virtualization Control Panel espace de travail.

Surles fenêtres™ systèmes, le dossier se trouve généralement dansC:\IBM\RTCP-Workspace\security.
Sur les systèmes de type Unix, le dossier se trouve généralement dans /var/ rtcp/security.

Gardez à l'esprit les directives suivantes lors de la modification dusecurity.config déposer:

Si le caractère barre oblique inverse \ doit être utilisé dans n'importe quelle valeur de propriété, échappez-le avec un autre caractère barre oblique inverse: \\. Par exemple, si la valeur est C:\IBM, précisez-le comme C:\\IBM.
Facultatif: Si l'un des caractères =, :, #, ou ! est utilisé dans une valeur de propriété, échappez-le avec une barre oblique inverse.
Met le credentialsStore propriété à ACTIVEDIRECTORY. Contrairement aux autres propriétés, vous ne devez définir cette propriété qu'une seule fois et vous ne pouvez pas la modifier pour des configurations individuelles (domaines AD).


Propriété		Description
Nom dans le Installation Manager Interface graphique	Nom dans lesecurity.config déposer
`url`	`url`	Adresse de l'hôte Active Directory. Par exemple, `ldap://host_name:port`.
`admin user`	`adminuser`	Un utilisateur Active Directory avec des autorisations de requête de groupe. Il s'agit du compte utilisateur qui Test Virtualization Control Panel utilise pour se connecter au serveur Active Directory afin de déterminer les groupes auxquels appartient un compte d'utilisateur particulier. Dans lesecurity.config fichier, spécifiez cette propriété au format suivant: `username@domain`, où `domain` est le domaine administrateur.
`password`	`adminpassword`	Le mot de passe de l'utilisateur administrateur. Ceci est stocké dans lesecurity.config fichier sous une forme obscurcie. Pour sécuriser ce mot de passe, restreignez l'accès ausecurity.config déposer. Uniquement le compte utilisateur sous lequel Test Virtualization Control Panel s'exécutera et les utilisateurs de l'ordinateur hôte qui sont autorisés à le modifier doivent y accéder. Si vous modifiez lesecurity.config fichier, assurez-vous de chiffrer le mot de passe. Pour plus de détails, voir Configuration des paramètres de sécurité après l'installation en mettant à jour lesecurity.config déposer. Par exemple, `adminpassword=#com.ghc.1!b2b312954AC84469E34BA2E5`.
`admin domain`	N / A	Domaine auquel appartient l'utilisateur administrateur. Cette valeur est requise pour se connecter en tant qu'utilisateur administrateur afin d'obtenir les informations sur les groupes. Dans lesecurity.config fichier, ceci est spécifié dans le cadre du `adminuser` propriété au format `username@domain`.
`default domain`	`domain`	Le domaine auquel appartiennent les utilisateurs. Généralement, il s'agit du même domaine que le domaine administrateur.
`group search base`	`searchBase`	Emplacement de base où les recherches du groupe d'annuaire doivent commencer - par exemple, `dc=mycompany,dc=local`. Cette valeur est un nom distinctif (DN) pour un objet Active Directory qui contient tous les groupes à utiliser pour contrôler les rôles au sein de Test Virtualization Control Panel. Par exemple, si vous avez des groupes nommés `cn=employees,ou=myTeam,o=mycompany,dc=mycompany,dc=local` et `cn=employees,ou=yourOrg,o=mycompany,dc=mycompany,dc=local`, définissez la base de recherche de groupe sur `o=mycompany,dc=mycompany,dc=local` ou `dc=mycompany,dc=local`. En précisant `ou=myTeam,o=mycompany,dc=mycompany,dc=local` trouve uniquement le premier groupe, et en spécifiant `ou=yourOrg,o=mycompany,dc=mycompany,dc=local` ne trouve que la seconde. La spécification d'une base de recherche de groupe plus spécifique (plus longue) réduit la liste des groupes parmi lesquels sélectionner dans le Installation Manager Interface graphique pour attribuer des rôles aux groupes et pourrait accélérer légèrement certaines opérations. La spécification d'une base de recherche de groupe moins spécifique (plus courte) rendra davantage de groupes disponibles pour l'attribution de rôles.
`user search base`	`userSearchBase`	Il s'agit d'un nom distinctif (DN) pour un objet Active Directory qui contient tous les utilisateurs qui doivent se connecter à n'importe quel niveau. Il n’est pas nécessaire qu’ils soient des objets enfants immédiats. Par exemple, si vous avez deux organisations sur votre serveur, l'une représentée par `ou=myOrg,o=mycompany,dc=mycompany,dc=local`, et l'autre, par `ou=yourOrg,o=mycompany,dc=mycompany,dc=local`, et que vous souhaitez que seuls les membres de la première organisation puissent se connecter, définissez la base de recherche d'utilisateurs sur `ou=myOrg,o=mycompany,dc=mycompany,dc=local`. Si les membres des deux organisations doivent pouvoir se connecter, définissez-le sur `o=mycompany,dc=mycompany,dc=local`. Pour qu'un utilisateur puisse se connecter, il doit correspondre à la base de recherche d'utilisateurs et faire partie d'un groupe Active Directory auquel le rôle a été attribué. `user`.
`group filter`	`allGroupsFilter`	L'expression de filtre pour les groupes d'utilisateurs. L'expression par défaut `(objectClass=group)` renvoie tous les groupes. Utilisez cette propriété pour contrôler le nombre de groupes disponibles auxquels les rôles sont attribués.
`Directory Groups`et `Test Virtualization Control Panel Roles`	`groupMappings`	Dans le Installation Manager Interface graphique, faites glisser les groupes sur les rôles pour créer des mappages et faites-les glisser pour les supprimer. Tous les utilisateurs d'un groupe assument les rôles attribués à ce groupe. Pour que les utilisateurs puissent se connecter, les conditions suivantes doivent être remplies: Le nom d'utilisateur doit correspondre à la base de recherche d'utilisateurs et appartenir à un groupe Active Directory auquel le rôle a été attribué. `user`. Utilisateurs ayant le rôle `admin` doit également faire partie d'un groupe auquel le rôle est attribué `user`. Par conséquent, vous devez attribuer `user` rôle à tous les groupes auxquels vous attribuez le `admin` rôle. La propriété `groupMappings` dans le `security.config` le fichier contient une liste de `group=role` paires. Le groupe est identifié par son `CN` Valeur de l'attribut Active Directory.

Exemple: fichier security.config avec les paramètres Active Directory pour un seul domaine

credentialsStore=ACTIVEDIRECTORY url=ldap\://ad.mycompany.example.com adminuser=admin@DOMAIN1 adminpassword=#com.ghc.1!b2b312954AC84469E34BA2E5 domain=DOMAIN1 searchBase=OU\=Testing,DC\=DOMAIN1,DC\=domain userSearchBase=DC\=DOMAIN1,DC\=domain allGroupsFilter=(objectClass\=group) groupMappings=MyCompanyEmployees\=user,MyCompanySysadmins\=admin,MyCompanySysadmins\=user,

Exemple: fichier security.config avec les paramètres Active Directory pour deux domaines

credentialsStore=ACTIVEDIRECTORY url=ldap\://ad.mycompany.example.com adminuser=admin@DOMAIN1 adminpassword=#com.ghc.1!b2b312954AC84469E34BA2E5 domain=DOMAIN1 searchBase=OU\=Testing,DC\=DOMAIN1,DC\=domain userSearchBase=DC\=DOMAIN1,DC\=domain allGroupsFilter=(objectClass\=group) groupMappings=MyCompanyEmployees\=user,MyCompanySysadmins\=admin,MyCompanySysadmins\=user, url.1=ldap\://ad.mycompany.example.com adminuser.1=admin@DOMAIN2 adminpassword.1=#com.ghc.1!b2b312954AC84469E34BA2E5 domain.1=DOMAIN2 searchBase.1=OU\=Testing,DC\=DOMAIN2,DC\=domain userSearchBase.1=DC\=DOMAIN2,DC\=domain allGroupsFilter.1=(objectClass\=group) groupMappings.1=MyCompanyEmployees\=user,MyCompanySysadmins\=admin,MyCompanySysadmins\=user,

Exemple: fichier security.config avec des paramètres Active Directory minimaux pour deux domaines partageant le même utilisateur administrateur et les mêmes groupes.

credentialsStore=ACTIVEDIRECTORY url=ldap\://ad.mycompany.example.com adminuser=admin@DOMAIN1 adminpassword=#com.ghc.1!b2b312954AC84469E34BA2E5 domain=DOMAIN1 searchBase=OU\=Testing,DC\=DOMAIN1,DC\=domain userSearchBase=DC\=DOMAIN1,DC\=domain allGroupsFilter=(objectClass\=group) groupMappings=MyCompanyEmployees\=user,MyCompanySysadmins\=admin,MyCompanySysadmins\=user, domain.1=DOMAIN2