ฉันจะตั้งค่า Redmine => การตรวจสอบสิทธิ์ Active Directory ได้อย่างไร

9

ก่อนอื่นฉันไม่ใช่ผู้ดูแลระบบ AD บนไซต์ แต่ผู้จัดการของฉันขอให้ฉันลองติดตั้ง Redmine ส่วนตัวของฉันเพื่อรวมกับ ActiveDirectory เพื่อทดสอบขับสำหรับการเปิดตัวขนาดใหญ่

เซิร์ฟเวอร์โฆษณาของเราอยู่ที่โฮสต์: พอร์ตและฉันมีผู้ใช้ims.example.com:389IMS/me

ตอนนี้ฉันยังมีผู้ใช้meใน Redmine โดยใช้การตรวจสอบท้องถิ่น

ฉันสร้างวิธีตรวจสอบสิทธิ์ ActiveDirectory LDAP ใน RedMine ด้วยพารามิเตอร์ต่อไปนี้:

Host: ims.example.com
Port: 389
Base DN: cn=Users,dc=ims,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

การทดสอบการเชื่อมต่อนี้ใช้งานได้ดี

ฉันมี แต่ยังไม่ได้ตรวจสอบสิทธิ์กับมัน

ฉันได้สร้างผู้ใช้ผู้ดูแลระบบสำรองเพื่อให้ฉันสามารถกลับเข้าสู่meบัญชีได้ถ้าฉันทำสิ่งต่าง ๆ แล้วฉันได้ลองเปลี่ยนmeเพื่อใช้ข้อมูลประจำตัว ActiveDirectory อย่างไรก็ตามเมื่อฉันทำเช่นนั้นแล้วจะไม่สามารถใช้งานการเข้าสู่ระบบได้ฉันได้ลองใช้ตัวเลือกชื่อเข้าสู่ระบบทั้งหมด:

me
IMS/me
IMS\me

ฉันใช้รหัสผ่านโดเมนที่รู้จักแล้ว แต่ไม่มีความสุข

ดังนั้นการตั้งค่าใดที่ฉันผิดหรือข้อมูลใดที่ฉันต้องได้รับเพื่อที่จะทำงานนี้

— Chris R
แหล่งที่มา

13

ตกลงดังนั้นนี่คือการตั้งค่าเฉพาะที่ฉันต้องการเพื่อให้สามารถใช้งานได้:

Host: ims.example.com
Port: 389
User: MYDOMAIN\accountName
Password: *******
Base DN: dc=mydomain,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

เคล็ดลับถูกลบออกcn=Usersจาก Base DN หลังจากนั้นทุกอย่างมารวมกัน

สิ่งที่น่าสังเกตอื่น ๆ คือการรวมผู้ใช้ให้อ่านไดเรกทอรี

สุดท้ายผู้ใช้ที่ล็อกอินใช้ชื่อผู้ใช้โดยไม่มีการรับรองโดเมนและรหัสผ่านโดเมนตามปกติ โดเมนของเราไม่ต้องการที่อยู่อีเมลดังนั้นจึงมีขั้นตอนเพิ่มเติมที่จะต้องตั้งค่าที่อยู่อีเมลในระหว่างการสร้างผู้ใช้ แต่มันค่อนข้างตรงไปตรงมา

— Chris R
แหล่งที่มา

อ่า ... ฉันไม่คิดแม้แต่จะถามคุณว่าบัญชีผู้ใช้ของคุณอยู่ภายใต้คอนเทนเนอร์เริ่มต้น "CN = ผู้ใช้ ... " หรือไม่

— Evan Anderson

มันจะมีประโยชน์มากกว่าที่จะรู้ว่าฉันจะตัดสินใจได้อย่างไร ฉันมาถึงการตั้งค่านี้ผ่านการลองผิดลองถูก

— Chris R

นี่คือการทดลองและข้อผิดพลาดส่วนใหญ่สำหรับฉันเช่นกันเนื่องจากฉันได้เปิดใช้งานปลั๊กอินการรับรองความถูกต้องโฆษณาของฉันเองสำหรับ Devise ซึ่งไม่จำเป็นต้องมีบัญชีอ่านโฆษณาเฉพาะ มันผูกและรับรองความถูกต้องกับโฆษณาโดยใช้ชื่อผู้ใช้ / รหัสผ่านเข้าสู่ระบบนี่เป็น mega ที่มีประโยชน์ Chris ขอบคุณ

— Ben Kreeger

การชี้แจงหนึ่งครั้ง (ฉันใช้เวลาตลอดบ่าย): บัญชีจะต้องจัดรูปแบบเป็นชื่อที่แตกต่างไม่ใช่ชื่อล็อกอิน

— coz

สำหรับฉันแก้ไขเป็นการเพิ่มโดเมนไปยังบัญชีผู้ใช้แบบสอบถามเช่นส่วน MYDOMAIN

— Andy Arismendi

6

เคล็ดลับในการค้นหาการรับรองความถูกต้อง Base DN สำหรับ ActiveDirectory LDAP คือการตรวจสอบชื่อโดเมนที่ผ่านการรับรองโดยผู้ใช้ คุณสามารถตรวจสอบกับ:

whoami /FQDN

หากคุณเข้าสู่ระบบในฐานะผู้ใช้ที่ส่งกลับสิ่งที่ชอบ

CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com

และสามารถหา Base DN ได้โดยการลบ CN แรกออก

OU=users,OU=department,DC=corp,DC=domain,DC=com

— Remco Schoeman
แหล่งที่มา

ขอบคุณสำหรับสิ่งนี้. ฉันไม่ทราบคำสั่งนี้มีประโยชน์มาก

— jasonmmiraglia

4

ฉันไม่มีความคุ้นเคยกับ Redmine แต่ดูเหมือนว่าคุณกำลังพยายามผูกที่ไม่ระบุชื่อกับ Active Directory เพื่อตรวจสอบข้อมูลรับรอง นั่นจะไม่ทำงาน มีการกำหนดค่าหลายผลิตภัณฑ์สำหรับการรวม LDAP กับ AD นี่เป็นปัญหาทั่วไปที่ฉันเคยเห็น

ออกจากกล่องโฆษณาต้องการให้ลูกค้าตรวจสอบเมื่อผูกพันกับไดเรกทอรีเพื่อดำเนินการค้นหา

ดูที่วิกิพีเดีย Redmine นี้อีกครั้ง: การกำหนดค่าการตรวจสอบสิทธิ์ LDAP พวกเขากำลังพูดถึงการระบุบัญชีและรหัสผ่านสำหรับ Redmine ที่จะใช้ (ที่มีสิทธิ์ในการอ่านไดเรกทอรี - ผู้ใช้โดเมน "ol ล้วน" จะทำ) เพื่อผูกเข้ากับไดเรกทอรี

— Evan Anderson
แหล่งที่มา

ฉันควรใส่ชื่อผู้ใช้ในรูปแบบใด พวกเขาไม่ได้จริงๆอธิบายว่าในการโพสต์วิกิพีเดีย (ซึ่งเป็นจุดเริ่มต้นสำหรับฉันอยู่แล้วขั้นตอนนี้)

— คริส R

โดยเฉพาะฉันลองIMS\meแล้วดูเหมือนจะไม่ทำงาน ฉันไม่สามารถรับรายละเอียดเกี่ยวกับสาเหตุที่ทำให้เกิดข้อผิดพลาด

— Chris R

ฉันจะระบุชื่อผู้ใช้ผูกใน DOMAIN \ samAccountName ไวยากรณ์ เท่าที่ทราบว่าทำไมมันถึงล้มเหลวฉันขอแนะนำให้ทำการดมกลิ่น (tcpdump, wireshark, Microsoft "Network Monitor" ฯลฯ ) ในตัวเพื่อนำเสนอปัญหาดังกล่าว ไม่มีวิธีใดที่เร็วกว่าที่จะเข้าใจว่าสิ่งใดที่ถูกพูดถึงบนสายแทนที่จะดูว่ามีอะไรพูดบนสาย (ฟังดูงี่เง่า แต่ผู้คนจำนวนมากไม่เคยคิดที่จะมองไปที่นั่น ... ) จากนั้นอย่างน้อยคุณสามารถดูว่าพารามิเตอร์ที่คุณระบุได้ถูกส่งผ่านตามที่คุณคาดหวังหรือไม่

— Evan Anderson

Wireshark กลายเป็นสวรรค์ที่นี่ ขอบคุณสำหรับเคล็ดลับนั้น ฉันพบปัญหาบางอย่างแล้วและฉันจะเข้ามาและโพสต์รายละเอียดในไม่ช้า

— Chris R

การเห็นว่ากล่องข้อความกำลังพูดถึงกันจะทำให้เกิดปัญหามากมายอย่างชัดเจนในทันที ดีใจที่ได้ยินว่าคุณใช้งานได้!

— Evan Anderson

3

ใช้เบราว์เซอร์ ldap และตรวจสอบโครงสร้าง ... luma บน Ubuntu ใช้งานได้ดี ldapper สำหรับ mac ด้วย

มันใช้งานไม่ได้กับเซิร์ฟเวอร์ LDAP ของฉัน แต่ฉันเห็นว่ามันมีประโยชน์อย่างไร

— Chris R

0

หากคุณต้องการก้าวไปอีกขั้นและตั้งค่า SSO ปลั๊กอินนี้มีประโยชน์มาก! https://www.redmine.org/plugins/single_auth

โพสต์นี้ (ของฉัน) อาจช่วยได้: http://blog.techutils.space/2016/02/redmine-ad-sso-setup.html

— BrunoJCM
แหล่งที่มา