使用 LDAP 名称空间配置 LTPA

以下步骤描述了当使用 IBM Tivoli Directory Server LDAP作为认证源时,如何为 Cognos® Analytics 设置LTPA。

有关配置LDAP的详细信息,请参阅配置 IBM Cognos 组件以使用LDAP

过程

  1. 在安装了 Content Manager的每个位置中,打开 IBM Cognos Configuration。
  2. 在 " 资源管理器 " 窗口中的 安全性 下,右键单击 认证,然后单击 新建资源 > 名称空间
  3. 名称 框中,输入认证名称空间的名称。
  4. 类型 列表中,选择 LDAP-常规缺省值
  5. 在 " 属性 " 窗口中,对于 名称空间标识 属性,指定名称空间的唯一标识。
  6. 指定下列属性:
    主机和端口
    LDAP 服务器的标准主机和端口。
    基准专有名称
    例如,o=organization_name.com
    用户查找
    例如,uid=${userID},ou=people
    使用外部身份
    True
    外部身份映射
    例如,uid=${environment("REMOTE_USER")},ou=people
  7. 如果希望 LDAP 认证服务提供者在执行搜索时使用特定的 绑定用户 DN 和密码 来绑定到目录服务器,请指定这些值。

    如果未指定任何值,那么 LDAP 认证服务提供者将以匿名方式绑定。

    如果启用了外部身份映射,那么 绑定用户 DN 和密码 将用于所有 LDAP 访问。 如果未启用外部身份映射,那么仅当为 用户查找 属性指定了搜索过滤器时,才会使用 绑定用户 DN 和密码 。 在这种情况下,建立用户 DN 时,将在用户的认证上下文下运行对 LDAP 服务器的后续请求。

  8. 如果不使用外部身份映射,请使用绑定凭证通过以下步骤来搜索 LDAP 目录服务器:
    • 确保 使用外部身份 设置为 False
    • 使用绑定凭证进行搜索 设置为 True
    • 指定 绑定用户 DN 和密码的用户标识和密码。

    如果未指定用户标识和密码,并且已启用匿名访问,那么将通过使用匿名来完成搜索。

  9. 检查所需对象和属性的映射设置。

    根据 LDAP 配置,您可能必须更改一些缺省值,以确保 IBM Cognos 组件与 LDAP 服务器之间的通信成功。

    映射到 文件夹映射组映射帐户映射 中的 名称 属性的 LDAP 属性必须可供所有已认证的用户访问。 此外, 名称 属性不得为空。

  10. 文件 菜单中,单击 保存
  11. 创建名为 local-server.xml 的 XML 文件,并将其放在 install_location/configuration 目录中。
  12. local-server.xml 文件中,输入适合于您的环境的值:
    <?xml version="1.0" encoding="UTF-8"?>
<server>
	<featureManager>
		<feature>ldapRegistry-3.0</feature>
		<feature>appSecurity-2.0</feature>
	</featureManager>
	<ldapRegistry id="id" realm="realm" 
		host="host" port="port" ignoreCase="true" 
		baseDN="o=basedn" ldapType="Custom" sslEnabled="false">
		<idsFilters 
			userFilter="(uid=%v,ou=people)"
			userIdMap="*:uid"
			groupFilter='(objectclass=groupofnames)'
			groupIdMap="*:cn" />
	</ldapRegistry>
      <webAppSecurity allowFailOverToBasicAuth="true" displayAuthenticationRealm="true"/>
</server>
  13. 如果 Cognos Analytics 配置为使用SSL,请参阅为 IBM Cognos 组件配置SSL协议以获取更多信息。
  14. 要验证配置,请登录 http://host:port/bihttps://host:port/bi (SSL启用系统),其中主机为完全限定的 Cognos Analytics 主机域。

    您不应该看到 Cognos Analytics 登录页面。 而是应该由浏览器提示您登录。

后续步骤

如果您想在通过LTPA认证设置的 Cognos Analytics 应用程序与部署在 WebSphere 实例中的应用程序之间配置单点登录(SSO),请在每个设置了LTPA的 Cognos Analytics 调度程序上安装 WebSphere 密钥,并使用以下 <ltpa> 元素更新 local-server.xml 文件:

<ltpa keysFileName="yourLTPAKeysFileName.keys" 
keysPassword="keysPassword" expiration="120" />

更多信息,请参阅 WebSphere Liberty 文档