設定 ADDI Extensions 的 LDAP 連線
本指導教學引導您使用透過 Microsoft Active Directory Domain Services (AD DS) 的 LDAP 連線來設定 ADDI Extensions ,以進行使用者管理。
先決條件
在本指導教學中,需要有一部具有 Windows Server 2012 或更新版本的機器,才能進行 LDAP 設定。
安裝及配置 AD DS
請完成下列步驟,以透過 AD DS 來設定 LDAP。
- 在 Windows Server 機器上以管理者身分登入。
- 按一下 開始 > 伺服器管理程式。
- 選取左側功能表上的 儀表板 ,然後選取 2) 新增角色及特性。
- 使用 新增角色和特性精靈來執行特性安裝。
- 在 開始之前 標籤上,按 下一步 。
- 在「 安裝類型 」標籤上選取 角色型或特性型安裝 ,然後按 下一步。
- 在 選取伺服器 標籤上按 下一步 ,以保留預設伺服器資訊。
- 從 伺服器角色 標籤上的「角色」核對清單中,選取 Active Directory 網域服務 。
- 選取 併入管理工具 (如果適用) 勾選框,然後按一下蹦現對話框上的 新增特性 。
- 在 伺服器角色 標籤上,按 下一步 。 確定已選取 Active Directory 網域服務 勾選框。
- 在 特性 標籤上,按 下一步 。
- 在 AD DS 標籤上,按 下一步 。
- 選取 必要時自動重新啟動目的地伺服器 勾選框,然後按一下 確認 標籤上的 安裝 。
- 請等待安裝完成。
- 按一下 結果 標籤上的 將此伺服器升級至網域控制站 鏈結。
- 請完成下列步驟來配置 AD DS。
- 按一下 新增樹系 ,然後在 根網域名稱 欄位中輸入 sample.com 。 然後,在 部署配置 標籤上按 下一步 。
- 在 密碼 及 確認密碼 欄位中輸入目錄服務還原的密碼。 然後,按 下一步。附註: 請記住這個密碼,以防您可能需要還原目錄服務。
- 在 DNS 選項 標籤上按 下一步 。
- 在 其他選項 標籤上按 下一步 。 在此步驟中,會自動完成 NetBIOS 網域名稱 欄位。
- 在 路徑 標籤上按 下一步 ,以保留 AD DS 資料庫、日誌檔和 SYSVOL 的位置。
- 檢閱已配置的選項,然後按 下一步 以確認。
- 當所有必備項目檢查都通過時,請在「 必備項目檢查 」頁面上按一下 安裝 。
- 等待安裝完成並顯示結果頁面。 然後,您的伺服器會自動重新啟動以完成配置。
- 按一下 新增樹系 ,然後在 根網域名稱 欄位中輸入 sample.com 。 然後,在 部署配置 標籤上按 下一步 。
設定 Active Directory 使用者群組和使用者
請完成下列步驟來設定 Active Directory 使用者群組和使用者。
- 在「伺服器管理程式」中,從右上方功能表中選取 工具 > Active Directory 使用者和電腦 。
- 選取具有「管理者」角色且將起始設定作用中目錄與 ADDI Extensions之間連線的使用者名稱。 例如,在本指導教學中, ldapadmin 使用者是使用者。 在本指導教學的其餘部分,此使用者將作為 ADDI Extensions的管理者。
- 按兩下使用者項目,以開啟 ldapadmin 內容視窗。
- 在 電子郵件 欄位中輸入您要用於起始設定的電子郵件位址。 在此範例中是 ldapadmin@sample.com 。
- 選取 帳戶 標籤,並輸入與使用者登入名稱相同的電子郵件帳戶名稱。 當您登入 ADDI Extensions時,將使用電子郵件帳戶名稱作為使用者名稱。 在此範例中是 ldapadmin 。
- 清除「帳戶」選項清單中的所有勾選框,然後按一下 確定。
- 建立作用中目錄使用者,以存取 ADDI Extensions。
- 在「 Active Directory 使用者和電腦」視窗中,用滑鼠右鍵按一下 使用者 資料夾。
- 選取 新建 > 使用者。
- 在「新建物件-使用者」對話框中輸入下列資訊。
- 名字: Marco
- 使用者登入名稱: marco
- 按下一步。
- 在 密碼 及 確認密碼 欄位中,輸入要用於此使用者的密碼。 請注意,您可以使用使用者名稱作為密碼,以方便記住。
- 清除 使用者在下一次登入時必須變更密碼 勾選框。
- 按下一步。
- 按一下 完成 ,以確認建立使用者。
- 重複步驟 a 到 c ,以建立 Jane 和 Tammy 作為使用者。
- 建立使用者群組來管理 ADDI Extensions中的活頁簿許可權。
- 在「 Active Directory 使用者和電腦」視窗中,用滑鼠右鍵按一下 使用者 資料夾。
- 選取 新建 > 群組。
- 在「新建物件-群組」對話框中指定下列資訊。
- 群組名稱: zMobile
- 群組範圍: 確定已選取 廣域 。
- 按一下 確定 以建立群組。
- 重複步驟 a 到 c ,以建立 Addi 管理者 及 HRM 應用程式 群組。
- 將使用者指派給 zMobile 群組。
- 按兩下 zMobile 群組,以開啟「zMobile 內容」視窗。
- 選取 成員 標籤。
- 按一下 新增 按鈕。
- 在 輸入要選取的物件名稱 欄位中鍵入 Marco 。
- 按一下 檢查名稱。 即會顯示具有登入名稱的物件名稱。
- 按一下 確定 以完成。
- 重複步驟 c 到 f ,將 Jane 新增至 zMobile 群組。
- 按一下 確定 以關閉「zMobile 內容」視窗。
- 按兩下 zMobile 群組,以開啟「zMobile 內容」視窗。
- 將 Tammy 指派給 HRM 應用程式 群組。
- 按兩下 HRM 應用程式 群組,以開啟「HRM 應用程式內容」視窗。
- 選取 成員 標籤。
- 按一下 新增 按鈕。
- 在 輸入物件名稱以選取 欄位中鍵入 tammy 。
- 按一下 檢查名稱。 即會顯示具有登入名稱的物件名稱。
- 按一下 確定 以完成。
- 按一下 確定 以關閉「HRM 應用程式內容」視窗。
- 將管理者使用者指派給 Addi Administrators 群組。
- 按兩下 Addi 管理者 群組,以開啟「Addi 管理者內容」視窗。
- 選取 成員 標籤。
- 按一下 新增 按鈕。
- 在 輸入要選取的物件名稱 欄位中,輸入您要成為 ADDI 管理者的使用者名稱。 在此範例中,它是 ldapadmin (本端管理者也是 Active Directory 管理者)。
- 按一下 檢查名稱。 即會顯示具有登入名稱的物件名稱。
- 按一下 確定 以完成。
- 按一下 確定 ,以關閉「Addi 管理者內容」視窗。
- 關閉「 Active Directory 使用者和電腦」視窗。
- 取得 Active Directory 管理者使用者的識別名稱,以用於 ADDI Extensions 鑑別設定。
- 在「伺服器管理程式」中,從右上方功能表中選取 工具 > ADSI 編輯 。
- 用滑鼠右鍵按一下 ADSI 編輯 項目,然後選取 連接至。
- 保留預設值,然後按一下「連線設定」視窗中的 確定 。
- 即會移入 sample.com 網域的預設物件樹狀結構。
- 選取 CN = Users 物件。 CN = Users 內的物件會顯示在中間窗格中。
- 選取您在先前步驟中設定的 Active Directory 管理者使用者。 在此情況下,它是 ldapadmin。
- 按一下滑鼠右鍵選取 內容。
- 尋找 distinguishedName 屬性並按兩下。
- 複製 distinguishedName 並貼在附註上以供未來使用。
- 按一下 確定 以關閉「字串屬性編輯器」對話框。
- 關閉「ADSI 編輯」視窗。
- 在「伺服器管理程式」中,從右上方功能表中選取 工具 > ADSI 編輯 。
您已完成 Active Directory 使用者的設定,以透過 LDAP 來存取 ADDI Extensions 。 下一步是安裝及設定 ADDI Extensions。
安裝及設定 ADDI Extensions
在安裝之前,您需要更新
hosts
檔案,以瞭解您用於設定的公用 URI。 例如,完成下列步驟以更新 hosts
檔案。- 在 開始 功能表圖示旁邊的搜尋方框中鍵入 記事本 。
- 在搜尋結果中,用滑鼠右鍵按一下 記事本,然後選取 以管理者身分執行。
- 從「記事本」中,開啟 C:\Windows\System32\drivers\etc 目錄中的
hosts
檔案。 - 在 localhost 區段下新增下列項目。
127.0.0.1 sample.com
- 儲存
hosts
檔案。
完成下列步驟,以安裝並設定 ADDI Extensions。
- 下載 ADDI 安裝程式,並以管理者身分執行 ADDI 安裝程式精靈。
- 遵循精靈中的指示,來安裝 ADDI。
- 在「 歡迎使用 」頁面上,按 下一步。
- 檢閱「 授權合約 」頁面。 然後選取 我接受此授權合約的條款 ,並按 下一步。
- 在「 安裝路徑 」頁面上,按 下一步 以使用預設路徑,或按一下 瀏覽 以選取路徑來安裝 IBM ADDI ,然後按 下一步。
- 在「訊息」對話框中按一下 確定 ,以建立目標目錄。
- 檢查下列要安裝的元件,然後按 下一步。
- IBM Application Discovery 伺服器和服務
- 鑑別伺服器 (DEX)
- IBM Application Discovery and Delivery Intelligence Extensions for 您的系統。 下列範例顯示 Windows 系統上顯示的「 選取安裝元件 」頁面。
- 在「 資訊 」頁面上按 下一步 。
- 在 IBM Application Discovery and Delivery Intelligence 延伸安裝路徑 頁面上, 按 下一步 以使用預設路徑,或按一下 瀏覽 以選取路徑來安裝 IBM ADDI Extensions ,然後按 下一步。
- 在「訊息」對話框中按一下 確定 ,以建立目標目錄。
- 清除 開啟 IBM Application Discovery 配置精靈 勾選框。
- 當安裝進度完成時,在「 安裝 」頁面上按 下一步 。
- 在「 設定捷徑 」頁面上按 下一步 。
- 在「 已完成安裝 」頁面上按一下 完成 。
- 在「 歡迎使用 」頁面上,按 下一步。
- 以管理者身分開啟命令提示字元,並導覽至 c:\Program Files\IBM Application Discovery and Delivery Intelligence\IBM Application Discovery and Delivery Intelligence Extensions\adi610\server 目錄。
- 執行下列指令,以產生管理者密碼的
bcrypt
雜湊:adi-setup bcryptPassword -dex.password <password>
附註: 在下列範例中, adiadmin 是您要產生bcrypt
雜湊的密碼。 - 將產生的
bcrypt
雜湊密碼儲存在某處。 當您設定dex.yaml
檔案時,將會使用密碼。 - 配置「鑑別伺服器 (DEX)」,如下列步驟中所述:
- 導覽至 C:\Program Files\IBM Application Discovery and Delivery Intelligence\Authentication Server (DEX) \sample-conf\addi 目錄。
- 複製目錄中的所有三個檔案:
dex.yaml
、root.crt
和root.key
。附註: 提供所有這些檔案僅供評估之用。 對於正式作業伺服器,您必須依照 在 dex.yaml 檔案中配置參數 主題中的說明,為伺服器產生 SSL 金鑰儲存庫和安全憑證,並配置您自己的dex.yaml
檔案。 - 導覽至 c:\Program Files\IBM Application Discovery and Delivery Intelligence\Authentication Server (DEX) \conf\ 目錄,並將複製的檔案貼到該處。
- 以管理者身分執行文字編輯器,並使用下列變更來更新
dex.yaml
檔案:- 將 發證者 更新為 https://sample.com:7600/dex。
- 使用下列變更來更新 web 區段:
- 將
http property
變更為 sample.com:7600。 - 解除註解
TLSCert
和TLSKey
內容,並更新其路徑,如下列範例所示。
- 將
- 請確定 connectors 區段已解除註解,並以下列變更來更新區段:
- 將 主機 變更為
localhost:389
。 - 將 insecureNoSSL 值變更為
true
。 - 將 bindDN 變更為您在先前步驟中複製到附註的 Active Directory 管理者的識別名稱。
- 將 bindPW 變更為 Active Directory 管理者的密碼。
- 將 userSearch 區段中的 baseDN 更新為
CN=Users,DC=sample,DC=COM
。 - 將 groupSearch 區段中的 baseDN 更新為
CN=Users,DC=sample,DC=COM
。
- 將 主機 變更為
- 使用下列變更來更新
staticClients
區段,同時移除<<>>
方括弧。- 將
id
內容更新為addi-liberty
。 請移除此行的額外前導空格字元。 - 將
redirectURIs
內容內的localhost
取代為sample.com
。 - 將
name
內容更新為‘ADDI Liberty Server’
。 - 將
secret
更新為f1a75f8abc2ffcbd46e2c1b5f7b12c7b
。 - 在每一行前面使用
#
符號來註銷從 77 到 81 的行。
- 將
- 使用下列變更來更新 StaticPasswords 區段,同時移除
<<>>
方括弧。- 解除註解
email
內容,並將它更新為“adiadmin@sample.com”
。 請移除此行的額外前導空格字元。 - 解除註解
hash
內容,並將它更新為您在步驟 5 中使用雙引號儲存的雜湊密碼。 - 解除註解
username
內容,並將它更新為“adiadmin”
。
附註: 雜湊值來自您在步驟 5 所儲存的值。 - 解除註解
- 將 發證者 更新為 https://sample.com:7600/dex。
- 儲存
dex.yaml
檔案。
- 按 Ctrl + Alt + Del ,然後選擇 作業管理程式 ,以開啟「作業管理程式」視窗。
- 選取 服務 標籤,然後按一下「 作業管理程式 」視窗底端的 開啟服務 。
- 用滑鼠右鍵按一下 鑑別服務 (DEX) ,然後選取 啟動 以啟動服務。
- 若要存取 IBM® AD 配置服務,請跳至
- 完成 ADDI Extensions 安裝配置,如下列步驟中所述:
- 選取
- 在 Web 和應用程式伺服器 標籤上指定基本 URL ,如下列範例所示。
https://sample.com:9753
- 保留 資料庫 標籤上的預設值。
- 在 鑑別服務 標籤上指定下列資訊。
- 主機: sample.com
- 埠: 7600
- HTTP 通訊協定: 選取 HTTP 安全 ()。
- 在 使用者群組 標籤上指定下列資訊。
- 管理者群組清單: ADDI 管理者
- 使用者群組清單: zMobile、HRM 應用程式
- 按一下 儲存 ,以建立 ADDI Extensions 配置。 畫面上會顯示一則訊息,指出已順利建立配置。
- 選取
- 在「命令提示字元」視窗上,導覽至 c:\Program Files\IBM Application Discovery and Delivery Intelligence\IBM Application Discovery and Delivery Intelligence Extensions\adi610\server 目錄。附註: 如果您先前已關閉「命令提示字元」,則需要以管理者身分重新執行「命令提示字元」。
- 執行指令
adi-setup addiConfigurationServer
。 - 執行
server.startup.bat
指令,並等待伺服器順利啟動。 - 瀏覽至 https://sample.com:9753/addi/web/workbook ,以測試您對 ADDI Extensions的存取權。
- 選取 使用 OpenLDAP 登入 ,以使用 Active Directory 使用者登入。
- 使用屬於 Addi Administrators 群組成員的使用者,來登入 ADDI Extensions 。
- 即會出現 ADDI Extensions 首頁。
現在,您已完成 ADDI 的安裝與配置,以透過 Active Directory啟用登入。 接下來,遵循 產生範例資料 中的步驟來產生示範資料,並相應地建立活頁簿以進行資料分析。
附註: 您將使用 OpenLDAP 方法而非靜態使用者來登入。 使用您在先前步驟中所設定的 ADDI administrators 使用者來執行指導教學,而不是 adiadmin 使用者。
設定使用者許可權
完成 產生範例資料的指導教學之後,您需要完成下列步驟來設定使用者許可權,以僅容許 zMobile 使用者存取此活頁簿。
- 在 ADDI Extensions 首頁上,按一下zMi膽 Health Care 活頁簿卡片上的溢位功能表 (垂直省略符號) 圖示。
- 選取 編輯 ,以編輯活頁簿資訊。
- 按一下 許可權 區段中的 新增許可權 鏈結。
- 選取「新增使用者群組」視窗中的 zMobile 勾選框,然後按一下 儲存 以儲存使用者群組的更新項目。
- 向下捲動並按一下 儲存 ,以更新活頁簿。
- 按一下視窗右上角的設定檔圖示,然後選取 登出。
- 選取 使用 OpenLDAP 登入 以重新登入。
- 使用您為 Marco 設定的電子郵件位址 marco@sample.com 及密碼,以 Marco 身分登入。
- 按一下視窗右上角的設定檔圖示,然後選取 登出。
- 選取 使用 OpenLDAP 登入 以重新登入。
- 使用您為 Jane 設定的電子郵件位址 jane@sample.com 及密碼,以 Jane 身分登入。
- 按一下視窗右上角的設定檔圖示,然後選取 登出。
- 選取 使用 OpenLDAP 登入 以重新登入。
- 使用您為 Tammy 設定的電子郵件位址 tammy@sample.com 及密碼,以 Tammy 身分登入。
您現在已探索 ADDI Extensions 如何透過 LDAP 來管理使用者鑑別和許可權。 您現在可以使用組織 Active Directory 來設定正式作業環境。