Подключение к внутреннему каталогу с аутентификацией LDAP

Вы можете подключить ваше приложение JIRA к каталогу LDAP для делегированной аутентификации. Это означает, что JIRA будет иметь внутренний каталог, который использует LDAP только для аутентификации. Существует возможность автоматически создавать пользователей во внутреннем каталоге при попытке входа в систему, как описано в разделе настроек.

Обзор

Внутренний каталог с аутентификацией LDAP предлагает функции внутреннего каталога, позволяя вам хранить и проверять пароли пользователей только в LDAP. Обратите внимание, что «внутренний каталог с аутентификацией LDAP» отделен от «внутреннего каталога по умолчанию». В LDAP все, что делает приложение,так это проверить пароль. Соединение LDAP доступно только для чтения. Каждый пользователь во внутреннем каталоге с аутентификацией LDAP должен сопоставлять пользователя с LDAP, иначе они не могут войти в систему.

Когда использовать эту опцию: выберите эту опцию, если вы хотите настроить конфигурацию пользователя и группы в своем приложении, которая соответствует вашим потребностям, при проверке паролей пользователей в отношении корпоративного каталога LDAP. Этот параметр также помогает избежать проблем с производительностью задач, которые могут возникнуть в результате загрузки большого количества групп из LDAP.

Подключение JIRA к внутреннему каталогу с аутентификацией LDAP

Для того чтобы подключиться к внутреннему каталогу и проверить логины через LDAP, необходимо выполнить следующие шаги:

Войдите в систему как пользователь с глобальным разрешением «Администраторы JIRA» (IRA Administrators).
Выберите > «Управление пользователями» (User Management )> «Каталоги пользователей» (User Directories).

Комбинация клавиш: 'g' + 'g' + начало ввода 'каталогов'.

Добавьте каталог (Add) и выберите «Внутренний с аутентификацией LDAP» (Internal with LDAP Authentication).
Введите значения для параметров, как описано ниже.
Сохраните настройки каталога.
Определите порядок каталогов, щелкнув синими стрелками вверх и вниз рядом с каждым каталогом на экране «Пользовательские каталоги» (User Directories). Мы рекомендуем, чтобы «Внутренний каталог с аутентификацией LDAP» (Internal Directory with LDAP Authentication) находился в верхней части списка. Ниже приведено краткое описание того, как порядок каталога влияет на обработку:
- Порядок каталогов - это порядок, в котором они будут искать пользователей и группы.
- Изменения для пользователей и групп будут производиться только в первом каталоге, где приложение имеет разрешение на внесение изменений.

Подробнее см. «Управление несколькими каталогами».

Добавьте своих пользователей и группы в JIRA. См. «Управление пользователями и Управление группами».

Настройки сервера

Примечание. Опция выбора типа каталога доступна только в JIRA 4.3.3 и более поздних версиях.

Настройка	Описание
Имя	Описательное имя, которое поможет вам идентифицировать каталог. Примеры: Внутренний каталог с аутентификацией LDAP Корпоративный LDAP для проверки подлинности
Тип каталога	Выберите тип каталога LDAP, к которому вы будете подключаться. Если вы добавляете новое соединение LDAP, значение, которое вы выбрали здесь, будет определять значения по умолчанию для некоторых параметров на остальном экране. Примеры: Microsoft Active Directory OpenDS и более.
Имя хоста	Имя хоста вашего сервера каталогов. Примеры: ad.example.com ldap.example.com opends.example.com
Порт	Порт, на котором прослушивается сервер каталогов. Примеры: 389 10389 636 (например, для SSL)
Использовать SSL	Установите этот флажок, если соединение с сервером каталогов является соединением SSL (Secure Sockets Layer). Обратите внимание, что вам необходимо настроить SSL-сертификат, чтобы использовать этот параметр.
Имя пользователя	Различающееся имя пользователя, которое приложение будет использовать при подключении к серверу каталогов. Примеры: cn=administrator,cn=users,dc=ad,dc=example,dc=com cn=user,dc=domain,dc=name user@domain.name
Пароль	Пароль пользователя, указанного выше.

Копирование пользователей при первом входе

Примечание. Возможность копирования пользователей при первом входе в систему доступна только в JIRA 4.3.3 и более поздних версиях. В настоящее время он копирует данные во всех случаях, когда пользователь входит в систему, в соответствии с ошибкой JRASERVER-27541 - делегированная LDAP- копирует пользователя при первой попытке входа в систему.

Настройка	Описание
Скопировать пользователя в систему	Этот параметр влияет на то, что произойдет, когда пользователь попытается войти в систему. Если этот флажок установлен, пользователь будет создан автоматически во внутреннем каталоге, использующем LDAP для аутентификации, когда пользователь впервые войдет в систему, а их данные будут синхронизированы на каждом последующем входе в систему. Если этот флажок не установлен, вход в систему пользователя будет терпеть неудачу, если пользователь еще не был вручную создан в каталоге. Если вы установите этот флажок, на экране появятся следующие дополнительные поля, которые более подробно описаны ниже: Членство в группах по умолчанию Синхронизация членства в группах Настройки пользовательской схемы (описано в отдельном разделе ниже)
Обновить атрибуты пользователя для входа в систему	Всякий раз, когда ваши пользователи аутентифицируются в приложении, их атрибуты будут автоматически обновляться с сервера LDAP в приложении. После выбора этого параметра вы не сможете изменять или удалять своих пользователей непосредственно в приложении. Если вам нужно изменить пользователя, сделайте это на сервере LDAP; он будет обновлен в приложении после аутентификации. Если вам нужно удалить пользователя, сделайте это на сервере LDAP, но также и в приложении. Если вы удалите пользователя только на сервере LDAP, он будет отклонен при входе в приложение, но он не будет установлен как неактивный, что повлияет на вашу лицензию. Чтобы удалить пользователя, вам необходимо отключить атрибуты «Обновить пользовательские атрибуты» (Update User attributes on Login) для входа в систему, а затем снова включить его.
Членство в группах по умолчанию	Это поле появляется, если вы установите флажок «Копировать пользователя в систему» (Copy User on Login). Если вы хотите, чтобы пользователи автоматически добавлялись в группу или группы, введите здесь имена групп. Чтобы указать более одной группы, разделите имена групп запятыми. Каждый раз, когда пользователь входит в систему, члены группы будут проверяться. Если пользователь не принадлежит к указанной группе (-ам), их имя пользователя будет добавлено в группу (группы). Если группа еще не существует, она будет добавлена во внутренний каталог, использующий LDAP для аутентификации. Имейте в виду, что имена групп не проверяются. Если вы неправильно наберете имя группы, это приведет к сбоям авторизации - пользователи не смогут получить доступ к приложениям или функциям на основе имени предполагаемой группы. Примеры: Confluence пользователи bamboo пользователи, JIRA-администраторы, JIRA-ядро-пользователей
Синхронизация членства в группах	Это поле появляется, если вы установите флажок «Копировать пользователя в систему» (Copy User on Login). Если этот флажок установлен, членство в группах, указанное на вашем сервере LDAP, будет синхронизироваться с внутренним каталогом каждый раз, когда пользователь войдет в систему. Если вы установите этот флажок, на экране появятся следующие дополнительные поля, как описано более подробно ниже: Настройки схемы группы (описано в отдельном разделе ниже) Настройки схемы членства (описано в отдельном разделе ниже)

Настройки схемы

Настройка

Описание

Базовое DN

Коренное различающееся имя (DN) для использования при запуске запросов к серверу каталогов.

Примеры:

o=example,c=com
cn=users,dc=ad,dc=example,dc=com
Для Microsoft Active Directory укажите базовое DN в следующем формате: dc = domain1, dc = local. Вам нужно будет заменить domain1 и local для вашей конкретной конфигурации. Microsoft Server предоставляет инструмент ldp.exe, который полезен для определения и настройки структуры LDAP вашего сервера.

Атрибут имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Примеры:

cn
sAMAccountName

Параметры пользовательской схемы (используется при копировании пользователей при первом входе)

Примечание. Настройки пользовательской схемы доступны только в JIRA 4.3.3 и более поздних версиях.

Настройка	Описание
Дополнительное пользовательское DN	Это значение используется в дополнение к базовому DN при поиске и загрузке пользователей. Если значение не задано, поиск поддерева будет начинаться с базового DN. Пример: ou=Users
Класс объектов пользователя	Это имя класса, используемого для пользовательского объекта LDAP. Пример: user
Фильтр пользовательских объектов	Фильтр, используемый при поиске объектов пользователя. Пример: (& (ObjectCategory = Person) (SamAccountName = *))
Атрибут имени пользователя RDN	RDN (относительное различающееся имя) для использования при загрузке имени пользователя. DN для каждой записи LDAP состоит из двух частей: RDN и местоположения в каталоге LDAP, где находится запись. RDN - это часть вашего DN, которая не связана с структурой дерева каталогов. Пример: cn
Атрибут имени пользователя	Поле атрибута, используемое при загрузке имени пользователя. Пример: givenName
Атрибут последнего имени пользователя	Поле атрибута, используемое при загрузке имени пользователя. Пример: sn
Атрибут отображаемого имени пользователя	Поле атрибута, которое будет использоваться при загрузке полного имени пользователя. Пример: displayName
Атрибут электронной почты пользователя	Поле атрибута, используемое при загрузке адреса электронной почты пользователя. Пример: mail

Параметры групповой схемы (используется при включении синхронного членства в группах)

Настройка	Описание
Класс группового объекта	Это имя класса, используемого для объекта группы LDAP. Примеры: groupOfUniqueNames group
Фильтр групповых объектов	Фильтр, используемый при поиске объектов группы. Пример: (&(objectClass=group)(cn=*))
Атрибут имени группы	Поле атрибута, используемое при загрузке имени группы. Пример: cn
Атрибут описания группы	Поле атрибута, которое будет использоваться при загрузке описания группы. Пример: description

Схемы возможных конфигураций

Диаграмма выше: JIRA подключается к каталогу LDAP только для аутентификации.

Диаграмма выше: JIRA подключается к каталогу LDAP только для аутентификации, при этом каждый пользователь копируется во внутренний каталог при первом входе в JIRA.