使用LDAP协议将ClearQuest用户与Windows域用户统一管

2014-10-28 17:55:51



IBM Rational ClearQuest 产品拥有自身的一套用户管理系统。用户可以在 IBM Rational ClearQuest 用户管理工具中,添加 / 修改 / 设置用户的访问权限。通过 LDAP 协议,可以将 ClearQuest 中的用户验证从 ClearQuest 转移到 LDAP 服务器上。本文介绍如何通过配置 ClearQuest 使用 LDAP 实现将 CQ 用户以及 Windows 域用户统一管理。
背景介绍

IBM Rational ClearQuest 产品拥有自身的一套用户管理系统。用户可以在 IBM Rational ClearQuest 用户管理工具中,添加 / 修改 / 设置用户的访问权限。那么在使用 Windows 域管理用户的企业中,部署 IBM Rational ClearQuest 时,就会面临这样一个问题:一个用户需要使用自己的 Windows 域帐号来登录操作系统,再使用 ClearQuest 的帐号来登录使用 ClearQuest。这样需要维护两套用户信息系统,极其容易产生用户信息不匹配的情况。那么是否有可能将两套系统通过一个统一的途径来管理帐号信息呢?答案是可以的。

IBM Rational ClearQuest 从 2003.06.15 版本起支持 LDAP 协议。通过 LDAP 协议,可以将 ClearQuest 中的用户验证从 ClearQuest 转移到 LDAP 服务器上,这样我们可以在 LDAP 服务器上进行用户身份验证管理,在 ClearQuest 的用户管理里面对用户进行 ClearQuest 操作权限的设定,从而将用户的管理统一化。

基于 Windows 动态目录的域服务器,也具有 LDAP 功能。下面我们就将介绍,如何通过配置 ClearQuest 实现将 CQ 用户以及 Windows 域用户统一管理。

LDAP 协议简介

LDAP (轻量级目录访问协议,Lightweight Directory Access Protocol) 是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化,因此它不同于常见的关系型数据库。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web 链结、jpeg 图像等各种信息。为了访问存储在目录中的信息,就需要使用运行在 TCP/IP 之上的访问协议 —— LDAP。

LDAP 目录中的信息是是按照树型结构组织,具体信息存储在条目 (entry) 数据结构中。条目相当于关系数据库中表的记录;条目是具有区别名 DN (Distinguished Name)的属性(Attribute),DN 是用来引用条目的,DN 相当于关系数据库表中的关键字(Primary Key)。属性由类型(Type)和一个或多个值(Values)组成,相当于关系数据库中的字段(Field)由字段名和数据类型组成,只是为了方便检索的需要,LDAP 中的 Type 可以有多个 Value,而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP 中条目的组织通常按照地理位置和组织关系进行组织,这样会非常的直观。


图 1. LDAP 信息的树型结构存储

图 1. LDAP 信息的树型结构存储

        如图 1 所示,LDAP 的信息是以树型结构存储的,在树根一般定义国家 (c=CN) 或域名 (dc=com),在其下则往往定义一个或多个组织 (organization)(o=CSDL) 或组织单元 (organizational units) (ou=Regular)。一个组织单元可能包含诸如正式雇员、合同工类型雇员等信息。

        此外,LDAP 支持对条目能够和必须支持哪些属性进行控制,这是有一个特殊的称为对象类别 (objectClass) 的属性来实现的。该属性的值决定了该条目必须遵循的一些规则,其规定了该条目能够及至少应该包含哪些属性。例如: Person 对象类需要支持 sn(surname) 和 cn(common name) 属性,但也可以包含可选的如邮件 (E-mail),电话号码 (Phone) 等属性。dc:一条记录所属区域;ou:一条记录所属组织;cn/uid:一条记录的名字 /ID。