Redmine => Active Directory kimlik doğrulamasını nasıl ayarlayabilirim?

9

İlk olarak, sitedeki bir AD yöneticisi değilim, ancak yöneticim, daha büyük ölçekli bir kullanıma sunma için test sürüşü yapmak için kişisel Redmine kurulumumu ActiveDirectory ile entegre etmeye çalışmamı istedi.

AD sunucumuz host: portta ims.example.com:389ve bir kullanıcı var IMS/me.

Şu anda meRedmine'de yerel kimlik doğrulamasını kullanan bir kullanıcı da var .

RedMine'de aşağıdaki parametrelerle bir ActiveDirectory LDAP kimlik doğrulama yöntemi oluşturdum:

Host: ims.example.com
Port: 389
Base DN: cn=Users,dc=ims,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

Bu bağlantının test edilmesi işe yarıyor.

Ancak, başarıyla kimlik doğrulaması yapmadım.

Yedekleme yöneticisi kullanıcı oluşturdum, böylece bir meşeyleri kırırsam hesaba geri dönebilirim ve sonra meActiveDirectory kimlik bilgilerini kullanmak için değiştirmeyi denedim . Ancak, bir kez yaptığımda, hiçbir şey giriş için çalışmıyor. Tüm bu giriş adı seçeneklerini denedim:

  • me
  • IMS/me
  • IMS\me

Bilinen Alan adı şifremi kullandım, ancak sevinç yok.

Peki, hangi ayarım yanlış veya bu işi yapabilmek için hangi bilgileri edinmem gerekiyor?

active-directory  authentication  ldap  ruby-on-rails  redmine 
Chris R
kaynak

Yanıtlar:

13

Tamam, işte bu işlemi yapabilmek için ihtiyacım olan özel ayarlar:

Host: ims.example.com
Port: 389
User: MYDOMAIN\accountName
Password: *******
Base DN: dc=mydomain,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

Hile cn=UsersBase DN'den çıkarıldı, daha sonra her şey bir araya geldi.

Diğer önemli şey, dizini okumak için bir kullanıcının dahil edilmesiydi.

Son olarak, oturum açan kullanıcı kullanıcı adını alan kalifikasyonu olmadan ve alan şifresini her zamanki gibi kullanır. Alanımız bir e-posta adresi gerektirmediğinden, kullanıcı oluşturma sırasında e-posta adresinin ayarlanması gereken ek bir adım daha vardır, ancak bu oldukça basittir.

Chris R
kaynak
Ahh ... Kullanıcı hesaplarınızın "CN = Kullanıcılar, ..." varsayılan kapsayıcısı altında olup olmadığını sormayı bile düşünmedim.
Evan Anderson
Nasıl daha faydalı olacağını ben belirlendi olabilirdi. Bu düzene sadece deneme yanılma yoluyla geldim.
Chris R
Bu, Devise için belirli bir AD Read hesabı bile gerektirmeyen kendi AD kimlik doğrulama eklentimi elle devirdiğim için benim için de büyük ölçüde deneme yanılma yapıldı; kullanıcı adını / şifre girişini kullanarak AD'ye bağlanır ve kimlik doğrulaması yapar. Bu çok yardımcı oldu Chris, teşekkürler.
Ben Kreeger
Bir açıklama (beni bütün bir öğleden sonra aldı): Hesabın, bir giriş adı değil, ayırt edici bir ad olarak biçimlendirilmesi gerekiyor.
coz
Benim için alan adı sorgu kullanıcı hesabına ekleme gibi düzeltme, örneğin MYDOMAIN bölümü.
Andy Arismendi
6

ActiveDirectory LDAP kimlik doğrulaması için Temel DN'yi bulma hilesi, kullanıcıların tam etki alanı adının ne olduğunu denetlemektir. bunu şunlarla kontrol edebilirsiniz:

whoami /FQDN

bu kullanıcı olarak giriş yaptıysanız,

CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com

ve Base DN, ilk CN'nin çıkarılmasıyla bulunabilir.

OU=users,OU=department,DC=corp,DC=domain,DC=com
Remco Bilgini
kaynak
Bunun için teşekkürler. Bu komutun farkında değildim, çok yardımcı oldum.
jasonmmiraglia
4

Redmine ile aşinamam yok, ancak kimlik bilgilerini doğrulamak için Active Directory'ye anonim bir bağ yapmaya çalıştığınız anlaşılıyor. Bu işe yaramayacak. AD ile LDAP entegrasyonu için birden fazla ürün yapılandırdıktan sonra, bu sık karşılaştığım bir sorundur.

Kutudan çıkar çıkmaz AD, istemcilerin sorguları gerçekleştirmek için dizine bağlanırken kimlik doğrulaması yapmasını gerektirir.

Göz bu Redmine wiki gönderme de LDAP kimlik doğrulamasını yapılandırmak: re. Redmine'ın dizine bağlanmak için kullanacağı bir hesap ve şifre belirtmekten (dizini okuma haklarına sahip bir hesap - düz bir '"Etki Alanı Kullanıcısı yapacak") bahsediyorlar.

Evan Anderson
kaynak
Kullanıcı adını hangi forma girmeliyim? Wiki kaydında (bu işlem için zaten benim başlangıç ​​noktamdı) gerçekten açıklamıyorlar
Chris R
Özellikle, denedim IMS\meve işe yaramadı. Neden başarısız olduğu konusunda da hiçbir ayrıntı alamıyorum .
Chris R
Bağlama kullanıcı adını DOMAIN \ samAccountName sözdiziminde belirtirim. Neden başarısız olduğunu anlamaya kadar , bir sniffer (tcpdump, wireshark, yerleşik Microsoft "Ağ İzleyicisi", vb.) Ve bunu soruna getirmenizi tavsiye ederim. Tel üzerinde söylenenleri anlamanın, tel üzerinde söylenenlere bakmaktan daha hızlı bir yolu yoktur. (Aptalca geliyor, ancak birçok insan oraya hiç bakmayı düşünmüyor ...) Sonra, en azından belirttiğiniz parametrelerin beklediğiniz gibi geçip geçmediğini görebilirsiniz.
Evan Anderson
Wireshark burada bir nimettir. Bu ipucu için teşekkürler. Bununla ilgili bazı sorunlar buldum ve kısa süre içinde ayrıntıları paylaşacağım.
Chris R
Kutuların birbirlerine ne söylediğini görmek, birçok sorunun nedenini anında netleştirir. Çalıştırabildiğine sevindim!
Evan Anderson
3

Bir ldap tarayıcı kullanın ve görsel olarak yapıyı kontrol edin ... ubuntu üzerinde luma iyi çalışıyor, mac için ldapper.

Aslında LDAP sunucumla çalışmadı, ancak nasıl yararlı olacağını görebiliyorum.
Chris R
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.