Làm cách nào tôi có thể thiết lập Redmine => Xác thực Active Directory?

9

Đầu tiên, tôi không phải là quản trị viên AD trên trang web, nhưng người quản lý của tôi đã yêu cầu tôi thử cài đặt Redmine cá nhân để tích hợp với ActiveDirectory để thử nghiệm nó cho buổi giới thiệu quy mô lớn hơn.

Máy chủ AD của chúng tôi đang ở máy chủ: cổng ims.example.com:389và tôi có một người dùng IMS/me.

Ngay bây giờ, tôi cũng có một người dùng metrong Redmine sử dụng xác thực cục bộ.

Tôi đã tạo một phương thức xác thực LDAP ActiveDirectory trong RedMine với các tham số sau:

Host: ims.example.com
Port: 389
Base DN: cn=Users,dc=ims,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

Kiểm tra kết nối này hoạt động tốt.

Tôi có, tuy nhiên, không xác thực thành công với nó.

Tôi đã tạo một người dùng quản trị dự phòng để tôi có thể quay lại metài khoản nếu tôi phá vỡ mọi thứ và sau đó tôi đã thử thay đổi međể sử dụng thông tin đăng nhập ActiveDirectory. Tuy nhiên, một khi tôi làm, không có gì hoạt động để đăng nhập. Tôi đã thử tất cả các tùy chọn tên đăng nhập này:

me
IMS/me
IMS\me

Tôi đã sử dụng mật khẩu Tên miền đã biết của mình, nhưng không có niềm vui.

Vì vậy, cài đặt nào tôi có sai, hoặc tôi cần có thông tin gì để thực hiện công việc này?

— Chris R
nguồn

13

Được rồi, đây là các cài đặt cụ thể mà tôi cần để thực hiện công việc này:

Host: ims.example.com
Port: 389
User: MYDOMAIN\accountName
Password: *******
Base DN: dc=mydomain,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

Thủ thuật đã bị xóa cn=Userskhỏi Base DN, sau đó tất cả đã kết hợp lại với nhau.

Điều đáng chú ý khác là việc người dùng đọc thư mục.

Cuối cùng, người dùng đăng nhập sử dụng tên người dùng của họ mà không cần chứng nhận tên miền và mật khẩu tên miền như bình thường. Tên miền của chúng tôi không yêu cầu địa chỉ email, do đó, có thêm một bước mà địa chỉ email phải được đặt trong quá trình tạo người dùng, nhưng điều đó khá đơn giản.

— Chris R
nguồn

À ... tôi thậm chí không nghĩ đến việc hỏi bạn liệu tài khoản người dùng của bạn có nằm trong vùng chứa mặc định "CN = Users, ..." hay không.

— Evan Anderson

Sẽ hữu ích hơn khi biết làm thế nào tôi có thể xác định điều đó. Tôi chỉ đến thiết lập này thông qua thử nghiệm và lỗi.

— Chris R

Đây cũng là bản dùng thử và lỗi đối với tôi, vì tôi đã tự tay cuộn plugin xác thực AD của mình cho Devise mà thậm chí không yêu cầu tài khoản AD Read cụ thể; nó liên kết và xác thực với AD bằng cách đăng nhập tên người dùng / mật khẩu. Điều này rất hữu ích, Chris, cảm ơn.

— Ben Kreeger

Một điều rõ ràng (tôi mất cả buổi chiều): Tài khoản cần được định dạng dưới dạng tên phân biệt - không phải tên đăng nhập.

— vì

Đối với tôi, cách khắc phục như thêm tên miền vào tài khoản người dùng truy vấn, ví dụ như phần MYDOMAIN.

— Andy Arismendi

6

Một mẹo để tìm cơ sở xác thực LDAP cho ActiveDirectory là kiểm tra xem tên miền đủ điều kiện của người dùng là gì. bạn có thể kiểm tra xem với:

whoami /FQDN

nếu bạn đã đăng nhập với tư cách là người dùng đó, sẽ trả về một cái gì đó như

CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com

và DN cơ sở có thể được tìm thấy bằng cách loại bỏ CN đầu tiên.

OU=users,OU=department,DC=corp,DC=domain,DC=com

— Remco Schoeman
nguồn

Cám ơn vì cái này. Tôi đã không biết lệnh này, rất hữu ích.

— jasonmmiraglia

4

Tôi không quen thuộc với Redmine, nhưng có vẻ như bạn đang cố gắng thực hiện một liên kết ẩn danh với Active Directory để xác thực thông tin đăng nhập. Điều đó sẽ không đi làm. Đã cấu hình nhiều sản phẩm để tích hợp LDAP với AD, đây là một vấn đề phổ biến mà tôi đã thấy.

Ra khỏi hộp, AD yêu cầu khách hàng xác thực khi liên kết với thư mục để thực hiện các truy vấn.

Có một cái nhìn vào bài đăng wiki Redmine này : cấu hình xác thực LDAP. Họ đang nói về việc chỉ định một tài khoản và mật khẩu để Redmine sử dụng (một tài khoản có quyền đọc thư mục-- một "Người dùng tên miền" đơn giản sẽ làm) để liên kết với thư mục.

— Evan Anderson
nguồn

Tôi nên đặt tên người dùng ở dạng nào? Họ không thực sự giải thích rằng trong bài đăng wiki (dù sao đó cũng là điểm khởi đầu của tôi cho quá trình này)

— Chris R

Cụ thể, tôi đã thử IMS\mevà nó dường như không hoạt động. Tôi cũng không thể có được bất kỳ chi tiết nào về lý do tại sao nó thất bại.

— Chris R

Tôi chỉ định tên người dùng liên kết theo cú pháp DOMAIN \ samAccountName. Theo như tìm hiểu tại sao nó thất bại, tôi khuyên bạn nên sử dụng trình thám thính (tcpdump, wireshark, Microsoft "Network Monitor" tích hợp, v.v.) và giải quyết vấn đề đó. Không có cách nào nhanh hơn để tìm ra những gì được nói trên dây hơn là nhìn vào những gì được nói trên dây. (Nghe có vẻ ngớ ngẩn, nhưng nhiều người không bao giờ nghĩ rằng nhìn vào đó ...) Sau đó, ít nhất, bạn có thể xem liệu các tham số bạn đã chỉ định có được thông qua như bạn mong đợi không.

— Evan Anderson

Wireshark đang trở thành một vị thần ở đây. Cảm ơn vì lời khuyên đó. Tôi đã tìm thấy một số vấn đề cho nó và tôi sẽ sớm thông qua và đăng chi tiết.

— Chris R

Nhìn thấy những gì các hộp đang nói với nhau làm cho nguyên nhân của rất nhiều vấn đề ngay lập tức rõ ràng. Rất vui khi nghe rằng bạn nói nó làm việc!

— Evan Anderson

3

Sử dụng trình duyệt ldap và kiểm tra trực quan cấu trúc ... luma trên ubfox hoạt động tốt, ldapper cho mac cũng vậy.

Nó không thực sự hoạt động với máy chủ LDAP của tôi, nhưng tôi có thể thấy nó hữu ích như thế nào.

— Chris R

0

Nếu bạn muốn tiến thêm một bước và thiết lập SSO, plugin này rất hữu ích! https://www.redmine.org/plugins/single_auth

Bài đăng này (của tôi) có thể giúp: http://blog.techutils.space/2016/02/redmine-ad-sso-setup.html

— BrunoJCM
nguồn