設定 ADDI Extensions 的 LDAP 連線

本指導教學引導您使用透過 Microsoft Active Directory Domain Services (AD DS) 的 LDAP 連線來設定 ADDI Extensions ,以進行使用者管理。

先決條件

在本指導教學中,需要有一部具有 Windows Server 2012 或更新版本的機器,才能進行 LDAP 設定。

安裝及配置 AD DS

請完成下列步驟,以透過 AD DS 來設定 LDAP。
  1. 在 Windows Server 機器上以管理者身分登入。
  2. 按一下 開始 > 伺服器管理程式
  3. 選取左側功能表上的 儀表板 ,然後選取 2) 新增角色及特性
  4. 使用 新增角色和特性精靈來執行特性安裝。
    1. 開始之前 標籤上,按 下一步
    2. 在「 安裝類型 」標籤上選取 角色型或特性型安裝 ,然後按 下一步
    3. 選取伺服器 標籤上按 下一步 ,以保留預設伺服器資訊。
    4. 伺服器角色 標籤上的「角色」核對清單中,選取 Active Directory 網域服務
    5. 選取 併入管理工具 (如果適用) 勾選框,然後按一下蹦現對話框上的 新增特性
    6. 伺服器角色 標籤上,按 下一步 。 確定已選取 Active Directory 網域服務 勾選框。
    7. 特性 標籤上,按 下一步
    8. AD DS 標籤上,按 下一步
    9. 選取 必要時自動重新啟動目的地伺服器 勾選框,然後按一下 確認 標籤上的 安裝
    10. 請等待安裝完成。
  5. 按一下 結果 標籤上的 將此伺服器升級至網域控制站 鏈結。
  6. 請完成下列步驟來配置 AD DS。
    1. 按一下 新增樹系 ,然後在 根網域名稱 欄位中輸入 sample.com 。 然後,在 部署配置 標籤上按 下一步
    2. 密碼確認密碼 欄位中輸入目錄服務還原的密碼。 然後,按 下一步
      附註: 請記住這個密碼,以防您可能需要還原目錄服務。
    3. DNS 選項 標籤上按 下一步
    4. 其他選項 標籤上按 下一步 。 在此步驟中,會自動完成 NetBIOS 網域名稱 欄位。
    5. 路徑 標籤上按 下一步 ,以保留 AD DS 資料庫、日誌檔和 SYSVOL 的位置。
    6. 檢閱已配置的選項,然後按 下一步 以確認。
    7. 當所有必備項目檢查都通過時,請在「 必備項目檢查 」頁面上按一下 安裝
    8. 等待安裝完成並顯示結果頁面。 然後,您的伺服器會自動重新啟動以完成配置。
重新啟動伺服器之後,您可以重新登入伺服器。 您現在已順利安裝並配置 AD DS。 接下來,您將設定 ADDI Extensions的 Active Directory 使用者群組和使用者。 這些使用者和使用者群組將用來存取 ADDI Extensions ,並顯示如何設定使用者許可權。

設定 Active Directory 使用者群組和使用者

請完成下列步驟來設定 Active Directory 使用者群組和使用者。
  1. 在「伺服器管理程式」中,從右上方功能表中選取 工具 > Active Directory 使用者和電腦
  2. 選取具有「管理者」角色且將起始設定作用中目錄與 ADDI Extensions之間連線的使用者名稱。 例如,在本指導教學中, ldapadmin 使用者是使用者。 在本指導教學的其餘部分,此使用者將作為 ADDI Extensions的管理者。
  3. 按兩下使用者項目,以開啟 ldapadmin 內容視窗。
  4. 電子郵件 欄位中輸入您要用於起始設定的電子郵件位址。 在此範例中是 ldapadmin@sample.com
  5. 選取 帳戶 標籤,並輸入與使用者登入名稱相同的電子郵件帳戶名稱。 當您登入 ADDI Extensions時,將使用電子郵件帳戶名稱作為使用者名稱。 在此範例中是 ldapadmin
  6. 清除「帳戶」選項清單中的所有勾選框,然後按一下 確定
  7. 建立作用中目錄使用者,以存取 ADDI Extensions
    1. 在「 Active Directory 使用者和電腦」視窗中,用滑鼠右鍵按一下 使用者 資料夾。
    2. 選取 新建 > 使用者
    3. 在「新建物件-使用者」對話框中輸入下列資訊。
      1. 名字: Marco
      2. 使用者登入名稱: marco
      3. 下一步
      4. 密碼確認密碼 欄位中,輸入要用於此使用者的密碼。 請注意,您可以使用使用者名稱作為密碼,以方便記住。
      5. 清除 使用者在下一次登入時必須變更密碼 勾選框。
      6. 下一步
      7. 按一下 完成 ,以確認建立使用者。
    4. 重複步驟 a 到 c ,以建立 JaneTammy 作為使用者。
  8. 建立使用者群組來管理 ADDI Extensions中的活頁簿許可權。
    1. 在「 Active Directory 使用者和電腦」視窗中,用滑鼠右鍵按一下 使用者 資料夾。
    2. 選取 新建 > 群組
    3. 在「新建物件-群組」對話框中指定下列資訊。
      1. 群組名稱: zMobile
      2. 群組範圍: 確定已選取 廣域
      3. 按一下 確定 以建立群組。
    4. 重複步驟 a 到 c ,以建立 Addi 管理者HRM 應用程式 群組。
  9. 將使用者指派給 zMobile 群組。
    1. 按兩下 zMobile 群組,以開啟「zMobile 內容」視窗。
    2. 選取 成員 標籤。
    3. 按一下 新增 按鈕。
    4. 輸入要選取的物件名稱 欄位中鍵入 Marco
    5. 按一下 檢查名稱。 即會顯示具有登入名稱的物件名稱。
    6. 按一下 確定 以完成。
    7. 重複步驟 c 到 f ,將 Jane 新增至 zMobile 群組。
    8. 按一下 確定 以關閉「zMobile 內容」視窗。
  10. Tammy 指派給 HRM 應用程式 群組。
    1. 按兩下 HRM 應用程式 群組,以開啟「HRM 應用程式內容」視窗。
    2. 選取 成員 標籤。
    3. 按一下 新增 按鈕。
    4. 輸入物件名稱以選取 欄位中鍵入 tammy
    5. 按一下 檢查名稱。 即會顯示具有登入名稱的物件名稱。
    6. 按一下 確定 以完成。
    7. 按一下 確定 以關閉「HRM 應用程式內容」視窗。
  11. 將管理者使用者指派給 Addi Administrators 群組。
    1. 按兩下 Addi 管理者 群組,以開啟「Addi 管理者內容」視窗。
    2. 選取 成員 標籤。
    3. 按一下 新增 按鈕。
    4. 輸入要選取的物件名稱 欄位中,輸入您要成為 ADDI 管理者的使用者名稱。 在此範例中,它是 ldapadmin (本端管理者也是 Active Directory 管理者)。
    5. 按一下 檢查名稱。 即會顯示具有登入名稱的物件名稱。
    6. 按一下 確定 以完成。
    8. 按一下 確定 ,以關閉「Addi 管理者內容」視窗。
  12. 關閉「 Active Directory 使用者和電腦」視窗。
  13. 取得 Active Directory 管理者使用者的識別名稱,以用於 ADDI Extensions 鑑別設定。
    1. 在「伺服器管理程式」中,從右上方功能表中選取 工具 > ADSI 編輯
    2. 用滑鼠右鍵按一下 ADSI 編輯 項目,然後選取 連接至
    3. 保留預設值,然後按一下「連線設定」視窗中的 確定
    4. 即會移入 sample.com 網域的預設物件樹狀結構。
    5. 選取 CN = Users 物件。 CN = Users 內的物件會顯示在中間窗格中。
    6. 選取您在先前步驟中設定的 Active Directory 管理者使用者。 在此情況下,它是 ldapadmin
    7. 按一下滑鼠右鍵選取 內容
    8. 尋找 distinguishedName 屬性並按兩下。
    9. 複製 distinguishedName 並貼在附註上以供未來使用。
    10. 按一下 確定 以關閉「字串屬性編輯器」對話框。
    11. 關閉「ADSI 編輯」視窗。

您已完成 Active Directory 使用者的設定,以透過 LDAP 來存取 ADDI Extensions 。 下一步是安裝及設定 ADDI Extensions

安裝及設定 ADDI Extensions

在安裝之前,您需要更新 hosts 檔案,以瞭解您用於設定的公用 URI。 例如,完成下列步驟以更新 hosts 檔案。
  1. 開始 功能表圖示旁邊的搜尋方框中鍵入 記事本
  2. 在搜尋結果中,用滑鼠右鍵按一下 記事本,然後選取 以管理者身分執行
  3. 從「記事本」中,開啟 C:\Windows\System32\drivers\etc 目錄中的 hosts 檔案。
  4. 在 localhost 區段下新增下列項目。
    127.0.0.1    sample.com
  5. 儲存 hosts 檔案。
完成下列步驟,以安裝並設定 ADDI Extensions
  1. 下載 ADDI 安裝程式,並以管理者身分執行 ADDI 安裝程式精靈。
  2. 遵循精靈中的指示,來安裝 ADDI。
    1. 在「 歡迎使用 」頁面上,按 下一步
    2. 檢閱「 授權合約 」頁面。 然後選取 我接受此授權合約的條款 ,並按 下一步
    3. 在「 安裝路徑 」頁面上,按 下一步 以使用預設路徑,或按一下 瀏覽 以選取路徑來安裝 IBM ADDI ,然後按 下一步
    4. 在「訊息」對話框中按一下 確定 ,以建立目標目錄。
    5. 檢查下列要安裝的元件,然後按 下一步
      • IBM Application Discovery 伺服器和服務
      • 鑑別伺服器 (DEX)
      • IBM Application Discovery and Delivery Intelligence Extensions for 您的系統。 下列範例顯示 Windows 系統上顯示的「 選取安裝元件 」頁面。
    6. 在「 資訊 」頁面上按 下一步
    7. IBM Application Discovery and Delivery Intelligence 延伸安裝路徑 頁面上, 按 下一步 以使用預設路徑,或按一下 瀏覽 以選取路徑來安裝 IBM ADDI Extensions ,然後按 下一步
    8. 在「訊息」對話框中按一下 確定 ,以建立目標目錄。
    9. 清除 開啟 IBM Application Discovery 配置精靈 勾選框。
    10. 當安裝進度完成時,在「 安裝 」頁面上按 下一步
    11. 在「 設定捷徑 」頁面上按 下一步
    12. 在「 已完成安裝 」頁面上按一下 完成
  3. 以管理者身分開啟命令提示字元,並導覽至 c:\Program Files\IBM Application Discovery and Delivery Intelligence\IBM Application Discovery and Delivery Intelligence Extensions\adi610\server 目錄。
  4. 執行下列指令,以產生管理者密碼的 bcrypt 雜湊:
    adi-setup bcryptPassword -dex.password <password>
    附註: 在下列範例中, adiadmin 是您要產生 bcrypt 雜湊的密碼。
  5. 將產生的 bcrypt 雜湊密碼儲存在某處。 當您設定 dex.yaml 檔案時,將會使用密碼。
  6. 配置「鑑別伺服器 (DEX)」,如下列步驟中所述:
    1. 導覽至 C:\Program Files\IBM Application Discovery and Delivery Intelligence\Authentication Server (DEX) \sample-conf\addi 目錄。
    2. 複製目錄中的所有三個檔案: dex.yamlroot.crtroot.key
      附註: 提供所有這些檔案僅供評估之用。 對於正式作業伺服器,您必須依照 在 dex.yaml 檔案中配置參數 主題中的說明,為伺服器產生 SSL 金鑰儲存庫和安全憑證,並配置您自己的 dex.yaml 檔案。
    3. 導覽至 c:\Program Files\IBM Application Discovery and Delivery Intelligence\Authentication Server (DEX) \conf\ 目錄,並將複製的檔案貼到該處。
    4. 以管理者身分執行文字編輯器,並使用下列變更來更新 dex.yaml 檔案:
      1. 發證者 更新為 https://sample.com:7600/dex
      2. 使用下列變更來更新 web 區段:
        • http property 變更為 sample.com:7600
        • 解除註解 TLSCertTLSKey 內容,並更新其路徑,如下列範例所示。
      3. 請確定 connectors 區段已解除註解,並以下列變更來更新區段:
        1. 主機 變更為 localhost:389
        2. insecureNoSSL 值變更為 true
        3. bindDN 變更為您在先前步驟中複製到附註的 Active Directory 管理者的識別名稱。
        4. bindPW 變更為 Active Directory 管理者的密碼。
        5. userSearch 區段中的 baseDN 更新為 CN=Users,DC=sample,DC=COM
        6. groupSearch 區段中的 baseDN 更新為 CN=Users,DC=sample,DC=COM
      4. 使用下列變更來更新 staticClients 區段,同時移除 <<>> 方括弧。
        • id 內容更新為 addi-liberty。 請移除此行的額外前導空格字元。
        • redirectURIs 內容內的 localhost 取代為 sample.com
        • name 內容更新為 ‘ADDI Liberty Server’
        • secret 更新為 f1a75f8abc2ffcbd46e2c1b5f7b12c7b
        • 在每一行前面使用 # 符號來註銷從 77 到 81 的行。
      5. 使用下列變更來更新 StaticPasswords 區段,同時移除 <<>> 方括弧。
        • 解除註解 email 內容,並將它更新為 “adiadmin@sample.com”。 請移除此行的額外前導空格字元。
        • 解除註解 hash 內容,並將它更新為您在步驟 5 中使用雙引號儲存的雜湊密碼。
        • 解除註解 username 內容,並將它更新為 “adiadmin”
        附註: 雜湊值來自您在步驟 5 所儲存的值。
    5. 儲存 dex.yaml 檔案。
  7. 按 Ctrl + Alt + Del ,然後選擇 作業管理程式 ,以開啟「作業管理程式」視窗。
  8. 選取 服務 標籤,然後按一下「 作業管理程式 」視窗底端的 開啟服務
  9. 用滑鼠右鍵按一下 鑑別服務 (DEX) ,然後選取 啟動 以啟動服務。
  10. 若要存取 IBM® AD 配置服務,請跳至 開始功能表 > IBM Application Discovery and Delivery Intelligence > 啟動 IBM Application Discovery 配置服務管理者
  11. 完成 ADDI Extensions 安裝配置,如下列步驟中所述:
    1. 選取 配置 > 安裝配置 > IBM Application Discovery and Delivery Intelligence 延伸安裝配置
    2. Web 和應用程式伺服器 標籤上指定基本 URL ,如下列範例所示。
      https://sample.com:9753
    3. 保留 資料庫 標籤上的預設值。
    4. 鑑別服務 標籤上指定下列資訊。
      • 主機: sample.com
      • : 7600
      • HTTP 通訊協定: 選取 HTTP 安全 ()。
    5. 使用者群組 標籤上指定下列資訊。
      • 管理者群組清單: ADDI 管理者
      • 使用者群組清單: zMobile、HRM 應用程式
    6. 按一下 儲存 ,以建立 ADDI Extensions 配置。 畫面上會顯示一則訊息,指出已順利建立配置。
  12. 在「命令提示字元」視窗上,導覽至 c:\Program Files\IBM Application Discovery and Delivery Intelligence\IBM Application Discovery and Delivery Intelligence Extensions\adi610\server 目錄。
    附註: 如果您先前已關閉「命令提示字元」,則需要以管理者身分重新執行「命令提示字元」。
  13. 執行指令 adi-setup addiConfigurationServer
  14. 執行 server.startup.bat 指令,並等待伺服器順利啟動。
  15. 瀏覽至 https://sample.com:9753/addi/web/workbook ,以測試您對 ADDI Extensions的存取權。
  16. 選取 使用 OpenLDAP 登入 ,以使用 Active Directory 使用者登入。
  17. 使用屬於 Addi Administrators 群組成員的使用者,來登入 ADDI Extensions
  18. 即會出現 ADDI Extensions 首頁。
現在,您已完成 ADDI 的安裝與配置,以透過 Active Directory啟用登入。 接下來,遵循 產生範例資料 中的步驟來產生示範資料,並相應地建立活頁簿以進行資料分析。
附註: 您將使用 OpenLDAP 方法而非靜態使用者來登入。 使用您在先前步驟中所設定的 ADDI administrators 使用者來執行指導教學,而不是 adiadmin 使用者。

設定使用者許可權

完成 產生範例資料的指導教學之後,您需要完成下列步驟來設定使用者許可權,以僅容許 zMobile 使用者存取此活頁簿。
  1. ADDI Extensions 首頁上,按一下zMi膽 Health Care 活頁簿卡片上的溢位功能表 (垂直省略符號) 圖示。
  2. 選取 編輯 ,以編輯活頁簿資訊。
  3. 按一下 許可權 區段中的 新增許可權 鏈結。
  4. 選取「新增使用者群組」視窗中的 zMobile 勾選框,然後按一下 儲存 以儲存使用者群組的更新項目。
  5. 向下捲動並按一下 儲存 ,以更新活頁簿。
  6. 按一下視窗右上角的設定檔圖示,然後選取 登出
  7. 選取 使用 OpenLDAP 登入 以重新登入。
  8. 使用您為 Marco 設定的電子郵件位址 marco@sample.com 及密碼,以 Marco 身分登入。
    現在您可以看到 Marco 具有此活頁簿的存取權。 由於 Marco 不是 ADDI 管理者,因此視窗右上角不會顯示 建立活頁簿 按鈕。
  9. 按一下視窗右上角的設定檔圖示,然後選取 登出
  10. 選取 使用 OpenLDAP 登入 以重新登入。
  11. 使用您為 Jane 設定的電子郵件位址 jane@sample.com 及密碼,以 Jane 身分登入。
  12. 按一下視窗右上角的設定檔圖示,然後選取 登出
  13. 選取 使用 OpenLDAP 登入 以重新登入。
  14. 使用您為 Tammy 設定的電子郵件位址 tammy@sample.com 及密碼,以 Tammy 身分登入。
    這一次,您無法看到 zMobile Health Care 活頁簿,因為 Tammy 不是 zMobile 群組的成員。

您現在已探索 ADDI Extensions 如何透過 LDAP 來管理使用者鑑別和許可權。 您現在可以使用組織 Active Directory 來設定正式作業環境。