用户管理模块促进了用户身份验证和与 LDAP 服务器的集成。在本章节中:
访问用户目录
从设置菜单(齿轮图标)选择 Security Configuration ,然后单击 Browser User Administration on <host> 链接。根据您的 Parasoft 部署和基础设施,这个链接指向 Parasoft DTP 中的 LDAP 模块,或者指向带有 Parasoft License Server (pstsec.war)的 LDAP 模块。
表中列出了现有目录配置。
您可以配置以下操作:
- 单击 Create User Directory 并配置目录设置以添加新的用户目录配置(请参阅 Configuring Directory Settings)。
- 单击现有目录名或 URL 来编辑目录配置(请查阅 Configuring Directory Settings)。
- 单击 import 按钮将与该目录关联的用户添加到 CTP(请参阅 Importing Users)。
- 单击 trash 按钮删除用户目录配置。
- 单击并拖动目录到首选顺序。当在 Users 和 Groups 选项卡中使用 search 函数时,CTP 按照 User directory 选项卡中指定的顺序检查目录。
配置目录设置
单击目录配置现有设置,或单击 Create User Directory 来设置一个新目录。可以配置以下设置。
常规设置
默认情况下启用了新目录,但是可以通过禁用 Enable 选项来防止该目录与 LDAP 服务器同步。
需要一个目录名。
服务器设置
这些设置指定 CTP 到 LDAP 服务器的连接。在配置设置以验证 CTP 是否可以与 LDAP 服务器通信之后,单击 Test Connection 。
| Hostname | LDAP 服务器主机名。 |
|---|---|
| Port | 指定 LDAP 服务器端口。 |
| Use SSL | 启用此选项可以通过 SSL 连接到 LDAP 服务器。 |
| Credentials | |
| Username | 如果 LDAP 服务器需要凭证,请在该字段中指定用户名。 |
| Password | 如果 LDAP 服务器需要凭证,请在该字段中指定密码。 |
用户导入设置
配置后,单击 Test User Import Settings 在保存之前验证它们是否正确。
| Base DN | 基本 DN 是目录对象所在的上下文 DN(专有名称)。如果为空,CTP 将使用目录树的根 DN。组织单元(ou)和域组件(dc)用于定义目录树结构。 下面的例子展示了一个组织如何组织它的目录:
在本例中,您将输入以下基本 Dns 来仅扫描来自欧洲和亚洲的用户。
|
|---|---|
| Filter | 在 Filter 字段中输入一个表达式来搜索特定的参数。搜索是在基本 DN 和指定范围上执行的。下面的例子描述了一些过滤器的使用方法: 简单过滤器下的用户提供的基本 DN:
只查找 "devel1" 和 "devel2" 用户:
查找属于组 "Managers” 成员的用户:
关于以前版本 CTP 中的过滤器设置 在 3.1.2 之前的 CTP 版本中,LDAP 过滤器配置包含一个额外的属性和模板: |
| Restrict To Groups | 启用此选项仅导入属于 Group Import Settings中指定的组的用户。不属于在组导入设置中配置的组的用户将不会导入。 |
属性映射 属性映射部分定义了 Parasoft 用户管理对象属性如何映射到连接的目录对象属性。您可以使用默认映射或配置属性来满足您的特定需求。 | |
| Username | 默认为 uid。 |
| First Name | 默认为 givenName。 |
| Last Name | 默认为 sn。 |
| Email Address | 默认为 mail。 |
| Member Of | 默认为 memberOf。有关其他信息,请查阅 Advanced Settings 。 |
组导入设置
配置后,单击 Test Group Import Settings 在保存之前验证它们是否正确。
| Enable group import | 如果希望导入 LDAP 中设置的组,请启用 Enable Group Import 选项。 |
|---|---|
| Base DN | 参见 User Import Settings下面的基本 DN 设置。 |
| Filter | 参见 User Import Settings下面的 Filter 设置。 关于以前版本 CTP 中的组过滤器设置 在 3.1.2 之前的 CTP 版本中,LDAP 过滤器配置包含一个额外的属性和模板: |
| Enable nested groups | 如果目录中包含其他组,则可以启用此设置来保留 LDAP 服务器的层次结构。 |
属性映射 属性映射部分定义了 Parasoft 用户管理对象属性如何映射到连接的目录对象属性。您可以使用默认映射或配置属性来满足您的特定需求。 | |
| Name | 默认为 cn。 |
| Description | 默认为 cn。 |
| Member | 默认为 member。有关其他信息,请查阅 Advanced Settings 。 |
高级设置
您可以指定在 LDAP 中执行用户管理的用户和组查询的范围。
| User search scope | 从下拉菜单中选择以下选项之一来设置用户搜索范围:
|
|---|---|
| Group search scope | 从下拉菜单中选择以下选项之一来设置组搜索范围:
|
| Referral | 从下拉菜单中选择 Follow 以启用 JNDI 查找。对于没有 DNS 配置的 Active Directory 服务器,请选择此选项。 从下拉菜单中选择 Ignore ,当 Active Directory 返回用于引用的域名而不是服务器中指定的名称时,将忽略通信错误。 |
| Page size | 此设置指定每页记录请求的数量。设置页面大小允许服务器在构建页面时以页面的形式发送数据。默认为 1000。 |
| Membership strategy | 此设置指定从 LDAP 导入用户时如何关联组成员关系。CTP可以根据来自 LDAP 服务器的
|
| Sync group membership | 启用此选项可根据 LDAP 中的组成员关系更新用户属性和权限。 如果启用,CTP 将把 LDAP 作为用户成员的记录系统。在 CTP 中创建的任何与 LDAP 中的成员关联不同的用户/组关联都将被存储在 LDAP 中的关联删除或覆盖。当目录配置出现在用户目录页面时,CTP 按相反的顺序应用它们。因此,列表顶部的目录优先,应该是启用了同步组成员关系的目录。 默认是禁用的。 |
| Use DNs for membership | 如果 CTP 希望 LDAP 服务器使用专有名称 (DN) 来设置用户和组关联,则启用此设置。禁用此设置,以根据用户名和/或组属性关联用户和组。 默认是启用的。 |
| User primary groups | 启用此设置,以使用 Active Directory 中定义的基本组和主组确定用户组成员信息。 默认是禁用的。 |
| Read timeout (ms) | 指定在超时之前,当尝试从 LDAP 服务器读取数据时,CTP 应该等待多长时间。 默认为 |
| Connection timeout (ms) | 指定在超时之前,当尝试连接 LDAP 服务器时,CTP 应该等待多长时间。 默认为 |
导入用户
在配置 LDAP 连接之后,可以从用户目录导入用户。
- 从设置菜单中打开 User Administration ,然后单击 User Directories 选项卡。
- 单击要导入的目录的导入按钮。
检查要导入的用户并单击 Next 继续,或 Cancel 不导入即可退出。
与现有用户关联的属性将被来自 LDAP 服务器的数据覆盖。
- 检查要导入的用户组。单击开合三角查看组内的用户。
- 单击 Next 查看导入设置。
- 单击 Import 开始导入用户。
导入完成后将显示结果摘要。
用户管理 REST API
用户管理模块包含一个专用 API,您可以使用该 API 自动化用户管理任务。从用户管理页面的“帮助”菜单中选择 API Documentation 。文档描述了可用的端点。该 API 只能从 CTP 中的用户管理页面访问。
自动化 LDAP 同步
自动化 LDAP 同步的最简单方法是使用自动化工具(如 Jenkins)设置夜间作业。您可以使用 cURL 命令触发 LDAP 同步。例如,调用用户管理 REST API(/pstsec/api)端点:
curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"
在本例中,用您特定的信息代替 username、 password、 hostname、 port和 configurationName 。
