如何设定 CQ 用户和 Windows 域用户之间设定绑定映射关系
在了解了 LDAP 服务器端如何保存用户信息节点后,如何才能利用 LDAP 服务器实现对 ClearQuest 用户与 Windows 域用户的统一管理呢?我们首先来看看 ClearQuest 是如何保存用户信息的。
图 2. ClearQuest 是如何保存用户信息
从图 2 中可以看出,一个 ClearQuest 用户拥有登录名,全名(名称),电子邮件,电话等若干属性。而一个用户在 Windows 域服务器中也拥有类似的属性,比如全名,电子邮件,电话等属性。
假设在 Windows 域服务器中有某个属性,例如电子邮件,可以用来唯一标示一个用户节点,同时在 ClearQuest 中,如果用户的电子邮件信息可以唯一标识一个用户,并且 ClearQuest 中某用户的电子邮件属性与域帐号中的某用户节点的电子邮件属性相同话,则两者之间可以建立起来一个一一映射关系。这样在 ClearQuest 中输入这个邮件地址和对应的域用户密码时,ClearQuest 会在 Windows 域服务器端进行用户身份验证;当身份验证通过后,该用户取得其在 ClearQuest 中所拥有的权限并登录 ClearQuest。
基于上述分析,我们使用一系列的 ClearQuest 内部命令来完成上述 ClearQuest 用户与 Windows AD 域用户绑定的设置过程:
在安装有 ClearQuest 的 Windows 上打开一个命令行,运行如下命令 ( 注: 由于 Unix/Linux 操作系统上安装好 ClearQuest 后没有 installutil 这个命令,这个设置 ClearQuest LDAP 的步骤都需要在 Windows 上完成 ):
<1> installutil setauthenticationalgorithm <CQ 数据库连接,如 7.0.0> <CQ 管理员帐号,如 admin> <CQ 管理员密码 > CQ_ONLY
此命令正确完成后,返回值为 0。此时 ClearQuest 的用户验证方式为只有 ClearQuest 验证。收回了通过 LDAP 验证用户的途径。
<2> installutil setldapinit <CQ 数据库连接,如 7.0.0> <CQ 管理员帐号,如 admin> <CQ 管理员密码 > "-h <Windows 域服务器域名 > -p < 域服务器 LDAP 服务端口,默认为 389> -D 'cn=< 域用户的全称,此域用户有权限能遍历所有用户节点 >,ou=< 该用户节点的组织单元信息 >,dc=< 域名 >,dc=< 域名 >,dc=< 域名 >' -w < 域用户对应密码 >"
此命令正确完成后,返回值为 0。该命令只是设定了 ClearQuest 在做 LDAP 验证时的一些初始信息,比如验证服务器地址,用什么用户登录来验证。在 cn 处设定的域用户要求具有能遍历所有用户叶节点的权限。切记,此用户信息必须写成 DN 的格式。
<3> installutil setcqldapmap <CQ 数据库连接,如 7.0.0> <CQ 管理员帐号,如 admin> <CQ 管理员密码 > CQ_EMAIL mail
此命令正确完成后,返回值为 0。该命令了设置了在 ClearQuest 中,通过用户的电子邮件属性与 Windows 域服务器中的用户电子邮件属性进行映射。
<4> installutil setldapsearch <CQ 数据库连接,如 7.0.0> <CQ 管理员帐号,如 admin> <CQ 管理员密码 > "-s sub -b ou=< 目标用户节点所在的组织单元信息 >,dc=< 域名 >,dc=< 域名 >,dc=< 域名 > (&(objectCategory=Person)(mail=%login%)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"
此命令正确完成后,返回值为 0。此命令中设定了目标用户节点的搜索路径。此处 !(userAccountControl:1.2.840.113556.1.4.803:=2) 是用来标识在 Windows 动态目录中处于 Active 状态的用户。
<5> installutil setauthenticationalgorithm <CQ 数据库连接,如 7.0.0> <CQ 管理员帐号,如 admin> <CQ 管理员密码 > CQ_FIRST
此命令正确完成后,返回值为 0。此命令从表面上与步骤 <1> 中的命令十分类似,仅仅是将 CQ_ONLY 替换成了 CQ_FIRST。但是这个变动的含义表示将步骤 <1> 中设置只有 ClearQuest 管理用户验证改为使用 ClearQuest 与 LDAP 双重用户验证。
ClearQuest 用户 LDAP 设置的步骤到此已经结束,那么之前的设置是否正确呢 ? 我们需要用下面这个命令来进行一个验证:
<6> installutil validateldap <CQ 数据库连接,如 7.0.0> <CQ 管理员帐号,如 admin> <CQ 管理员密码 > <LDAP_USER> <LDAP_PWD>
在这里,我们把 <LDAP_USER> 替换为我们需要输入的 Windows 域用户的电子邮件信息,<LDAP_PWD> 替换为此 Windows 域用户对应的密码。如果命令的返回值为 0,那么说明我们上面的 LDAP 设定是正确的,否则则有问题,需要我们来做一些调整。
<7> 用户验证无误的情况下,现在我们来把 ClearQuest 中的具体用户设定为通过 LDAP 验证 (ClearQuest 在建立用户帐号时,默认为通过 ClearQuest 验证 ),如图 3 所示
