Подключение к внутреннему каталогу с аутентификацией LDAP

Вы можете подключить ваше приложение JIRA к каталогу LDAP для делегированной аутентификации. Это означает, что JIRA будет иметь внутренний каталог, который использует LDAP только для аутентификации. Существует возможность автоматически создавать пользователей во внутреннем каталоге при попытке входа в систему, как описано в разделе настроек.

Обзор

Внутренний каталог с аутентификацией LDAP предлагает функции внутреннего каталога, позволяя вам хранить и проверять пароли пользователей только в LDAP. Обратите внимание, что «внутренний каталог с аутентификацией LDAP» отделен от «внутреннего каталога по умолчанию». В LDAP все, что делает приложение,так  это проверить пароль. Соединение LDAP доступно только для чтения. Каждый пользователь во внутреннем каталоге с аутентификацией LDAP должен сопоставлять пользователя с LDAP, иначе они не могут войти в систему.

Когда использовать эту опцию: выберите эту опцию, если вы хотите настроить конфигурацию пользователя и группы в своем приложении, которая соответствует вашим потребностям, при проверке паролей пользователей в отношении корпоративного каталога LDAP. Этот параметр также помогает избежать проблем с производительностью задач, которые могут возникнуть в результате загрузки большого количества групп из LDAP.

Подключение JIRA к внутреннему каталогу с аутентификацией LDAP

Для того чтобы подключиться к внутреннему каталогу и  проверить логины через LDAP, необходимо выполнить следующие шаги:

  1. Войдите в систему как пользователь с глобальным разрешением «Администраторы JIRA» (IRA Administrators).
  2. Выберите > «Управление пользователями» (User Management )> «Каталоги пользователей» (User Directories).

             Комбинация клавиш: 'g' + 'g' + начало ввода 'каталогов'.

  1. Добавьте каталог (Add) и выберите «Внутренний с аутентификацией LDAP» (Internal with LDAP Authentication).
  2. Введите значения для параметров, как описано ниже.
  3. Сохраните настройки каталога.
  4. Определите порядок каталогов, щелкнув синими стрелками вверх и вниз рядом с каждым каталогом на экране «Пользовательские каталоги» (User Directories). Мы рекомендуем, чтобы «Внутренний каталог с аутентификацией LDAP» (Internal Directory with LDAP Authentication) находился в верхней части списка. Ниже приведено краткое описание того, как порядок каталога влияет на обработку:
    • Порядок каталогов - это порядок, в котором они будут искать пользователей и группы.
    • Изменения для пользователей и групп будут производиться только в первом каталоге, где приложение имеет разрешение на внесение изменений.

Подробнее см. «Управление несколькими каталогами».

  1. Добавьте своих пользователей и группы в JIRA. См. «Управление пользователями и  Управление группами».

Настройки сервера

Примечание. Опция выбора типа каталога доступна только в JIRA 4.3.3 и более поздних версиях.

 

 Настройка

 

 Описание

Имя

Описательное имя, которое поможет вам идентифицировать каталог.

Примеры:

  •  Внутренний каталог с аутентификацией LDAP       
  • Корпоративный LDAP для проверки подлинности

Тип каталога

Выберите тип каталога LDAP, к которому вы будете подключаться. Если вы добавляете новое соединение LDAP, значение, которое вы выбрали здесь, будет определять значения по умолчанию для некоторых параметров на остальном экране.

Примеры:      

  • Microsoft Active Directory       
  • OpenDS и более.

Имя хоста

Имя хоста вашего сервера каталогов.

Примеры:

  • ad.example.com
  • ldap.example.com
  • opends.example.com

Порт

Порт, на котором прослушивается сервер каталогов.

Примеры:

  • 389
  • 10389
  • 636 (например, для SSL)

Использовать SSL

Установите этот флажок, если соединение с сервером каталогов является соединением SSL (Secure Sockets Layer). Обратите внимание, что вам необходимо настроить SSL-сертификат, чтобы использовать этот параметр.

Имя пользователя

Различающееся имя пользователя, которое приложение будет использовать при подключении к серверу каталогов.

Примеры:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

Пароль

Пароль пользователя, указанного выше.

 

Копирование пользователей при первом входе

Примечание. Возможность копирования пользователей при первом входе в систему доступна только в JIRA 4.3.3 и более поздних версиях. В настоящее время он копирует данные во всех случаях, когда пользователь входит в систему, в соответствии с ошибкой JRASERVER-27541 - делегированная  LDAP- копирует пользователя при первой попытке входа в систему.

 

 Настройка

 

 Описание

 Скопировать пользователя в систему

Этот параметр влияет на то, что произойдет, когда пользователь попытается войти в систему. Если этот флажок установлен, пользователь будет создан автоматически во внутреннем каталоге, использующем LDAP для аутентификации, когда пользователь впервые войдет в систему, а их данные будут синхронизированы на каждом последующем входе в систему. Если этот флажок не установлен,  вход в систему пользователя будет терпеть неудачу, если пользователь еще не был вручную создан в каталоге.

Если вы установите этот флажок, на экране появятся следующие дополнительные поля, которые более подробно описаны ниже:

  • Членство в группах по умолчанию
  • Синхронизация членства в группах
  • Настройки пользовательской схемы (описано в отдельном разделе ниже)

Обновить атрибуты пользователя для входа в систему

Всякий раз, когда ваши пользователи аутентифицируются в приложении, их атрибуты будут автоматически обновляться с сервера LDAP в приложении. После выбора этого параметра вы не сможете изменять или удалять своих пользователей непосредственно в приложении.

  • Если вам нужно изменить пользователя, сделайте это на сервере LDAP; он будет обновлен в приложении после аутентификации.
  • Если вам нужно удалить пользователя, сделайте это на сервере LDAP, но также и в приложении. Если вы удалите пользователя только на сервере LDAP, он будет отклонен при входе в приложение, но он не будет установлен как неактивный, что повлияет на вашу лицензию. Чтобы удалить пользователя, вам необходимо отключить атрибуты «Обновить пользовательские атрибуты» (Update User attributes on Login) для входа в систему, а затем снова включить его.

 Членство в группах по умолчанию

Это поле появляется, если вы установите флажок «Копировать пользователя в систему» (Copy User on Login). Если вы хотите, чтобы пользователи автоматически добавлялись в группу или группы, введите здесь имена групп. Чтобы указать более одной группы, разделите имена групп запятыми. Каждый раз, когда пользователь входит в систему, члены группы будут проверяться. Если пользователь не принадлежит к указанной группе (-ам), их имя пользователя будет добавлено в группу (группы). Если группа еще не существует, она будет добавлена во внутренний каталог, использующий LDAP для аутентификации.
 
Имейте в виду, что имена групп не проверяются. Если вы неправильно наберете имя группы, это приведет к сбоям авторизации - пользователи не смогут получить доступ к приложениям или функциям на основе имени предполагаемой группы.
Примеры:
  • Confluence пользователи
  • bamboo пользователи, JIRA-администраторы, JIRA-ядро-пользователей
 Синхронизация членства в группах

Это поле появляется, если вы установите флажок «Копировать пользователя в систему» (Copy User on Login). Если этот флажок установлен, членство в группах, указанное на вашем сервере LDAP, будет синхронизироваться с внутренним каталогом каждый раз, когда пользователь войдет в систему.

Если вы установите этот флажок, на экране появятся следующие дополнительные поля, как описано более подробно ниже:

  • Настройки схемы группы (описано в отдельном разделе ниже)
  • Настройки схемы членства (описано в отдельном разделе ниже)

 

Настройки схемы

 

 Настройка

 

 Описание

 Базовое DN

Коренное различающееся имя (DN) для использования при запуске запросов к серверу каталогов.

Примеры:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Для Microsoft Active Directory укажите базовое DN в следующем формате: dc = domain1, dc = local. Вам нужно будет заменить domain1 и local для вашей конкретной конфигурации. Microsoft Server предоставляет инструмент ldp.exe, который полезен для определения и настройки структуры LDAP вашего сервера.

 Атрибут имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Примеры:

  • cn
  • sAMAccountName

 

Параметры пользовательской схемы (используется при копировании пользователей при первом входе)

Примечание. Настройки пользовательской схемы доступны только в JIRA 4.3.3 и более поздних версиях.

 

 Настройка

 

 Описание

 Дополнительное пользовательское DN

Это значение используется в дополнение к базовому DN при поиске и загрузке пользователей. Если значение не задано, поиск поддерева будет начинаться с базового DN.

Пример:

  • ou=Users

 Класс объектов пользователя

Это имя класса, используемого для пользовательского объекта LDAP.

Пример:

  • user

 Фильтр пользовательских объектов

Фильтр, используемый при поиске объектов пользователя.

Пример:

  • (& (ObjectCategory = Person) (SamAccountName = *))

 Атрибут имени пользователя RDN

RDN (относительное различающееся имя) для использования при загрузке имени пользователя. DN для каждой записи LDAP состоит из двух частей: RDN и местоположения в каталоге LDAP, где находится запись. RDN - это часть вашего DN, которая не связана с структурой дерева каталогов.

Пример:

  •  cn

 Атрибут имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Пример:

  •  givenName

 Атрибут последнего имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Пример:

  • sn

 Атрибут отображаемого имени пользователя

Поле атрибута, которое будет использоваться при загрузке полного имени пользователя.

Пример:

  • displayName

 Атрибут электронной почты пользователя

Поле атрибута, используемое при загрузке адреса электронной почты пользователя.

Пример:

  • mail

 

Параметры групповой схемы (используется при включении синхронного членства в группах)

 Настройка

 Описание

 Класс группового объекта

Это имя класса, используемого для объекта группы LDAP.

Примеры:

  • groupOfUniqueNames
  • group

 Фильтр групповых объектов

Фильтр, используемый при поиске объектов группы.

Пример:

  • (&(objectClass=group)(cn=*))

 Атрибут имени группы

Поле атрибута, используемое при загрузке имени группы.

Пример:

  • cn

 Атрибут описания группы

Поле атрибута, которое будет использоваться при загрузке описания группы. Пример:

  • description

Схемы возможных конфигураций

Диаграмма выше: JIRA подключается к каталогу LDAP только для аутентификации.

Диаграмма выше: JIRA подключается к каталогу LDAP только для аутентификации, при этом каждый пользователь копируется во внутренний каталог при первом входе в JIRA.

ПОХОЖИЕ ТЕМЫ

Настройка пользовательских каталогов