Jira 6.3.6使用openldap进行认证——方法一

简介:

在开始之前,请容许我尽情的发泄一下,话说关于jira和ldap的认证我至少是弄过两次了,第一次是在前一家公司,环境是CentOS 6.5+Jira 6.2+Windows AD 2012, 大概耗费了一周的时间,终于搞定了jira通过Microsoft AD进行认证,由于项目进度紧张,大概只是在几张纸上记录了一下配置要点,所以结果可想而知,根本没有任何总结留下来。然后现在的需求是jira要使用openldap进行认证,由于没有之前的积累,所以还是从头再来,不过花了两天时间终于还是完成了,于是这次下定决心一定要把配置给总结一下,不然下次再有这种需求又要苦逼了。顺便吐槽一下,网上关于jira 6.x部署的教程或文档有很多,但是关于jira和ldap进行整合的教程真的少的可怜,百度出来的结果竟然还是jira 4.2的版本,MG,这都多少年过去了,不能不说国内这种技术分享还是缺乏的,算了,吐槽完了,开始正文。


1、使用管理员账号登录jira之后,找到主页右上方的螺丝形按钮,然后点击并选择“用户管理”。

wKioL1gA61iAYZ_nAAJ68R-TKC4405.jpg-wh_50

2、在进入用户管理界面后,点击左侧的“用户目录”,默认情况下用户目录中只有jira内部目录,而使用ldap进行认证的前提就是创建一个ldap目录,所以这里点击“添加目录”。

wKiom1gA62DjZjaVAAIxL7mYcxQ430.jpg-wh_50

3、在点击添加目录之后,选择目录类型为LDAP。

wKiom1gA62eiZhSyAAIKaUAGmSA286.jpg-wh_50

4、根据ldap的类型和相关配置进行配置ldap用户目录,这个可以参考官方文档。

wKioL1gA63SS1OZwAAMCXKqTXSQ237.jpg-wh_50

5、配置完成之后,可以点击“Quick Test”进行测试,测试正确之后再进行保存。

wKioL1gA63mAAoiiAAIXzqtWi_w144.jpg-wh_50

6、出现以下的信息表示服务器和schema的配置正确,可以保存配置。但并不能说明ldap用户就可以登录jira了,还需要对用户是否存在、组的信息是否正确、用户是否可以进行认证等信息进行测试。

wKiom1gA64Hy45v_AADzYivy5C4503.jpg-wh_50

7、回到用户管理下的用户目录,然后输入一个ldap账号进行测试,看是否能通过认证。

wKioL1gA8ffRo_AjAAF9WtcuADA008.jpg-wh_50

8、如果测试的结果全部都通过的话,那么jira通过ldap认证基本上就没有什么问题了,如下图。如果有一两个是红色的(不通过),那可能你就需要根据环境好好排查了。

wKiom1gA8gGhBaoZAAKwz88mwC4800.jpg-wh_50

9、下面给出我的ldap用户目录配置截图:

服务器配置如下图:

wKioL1gA8gTDdaudAAGdgq6UFYs375.jpg-wh_50

注意:如果用户组模板配置中组的属性(objectClass)使用postsixGroup,那么Directory Type就选择OpenLDAP(Read-Only Posix Schema),不然在使用用户进行认证测试的时候retrieve group这一步始终无法通过;如果用户组模板配置中组的属性使用groupOfNames,那么Directory Type就选择OpenLDAP即可,这一点需要特别注意。

ldap权限配置如下图:

wKiom1gA8gyAXuEDAAJIm6MViKw639.jpg-wh_50

User Schema设置如下图:

wKioL1gA8hCh-xyBAAF8rTdUzp0807.jpg-wh_50

用户模板设置如下图:

wKiom1gA8hPgwWwbAAE523nvF4M922.jpg-wh_50

10、下面顺便贴上openldap中的用户和组的数据:

[root@ldapsrv01 ~]# ldapsearch -D cn=admin,dc=contoso,dc=com -W -b dc=contoso,dc=com

Enter LDAP Password: 

# extended LDIF

#

# LDAPv3

# base <dc=contoso,dc=com> with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#


# contoso.com

dn: dc=contoso,dc=com

dc: contoso

objectClass: top

objectClass: domain


# People, contoso.com

dn: ou=People,dc=contoso,dc=com

ou: People

objectClass: top

objectClass: organizationalUnit


# Group, contoso.com

dn: ou=Group,dc=contoso,dc=com

ou: Group

objectClass: top

objectClass: organizationalUnit


# tech, Group, contoso.com

dn: cn=tech,ou=Group,dc=contoso,dc=com

objectClass: posixGroup

description: Technology

gidNumber: 10001

cn: tech

memberUid: zhangsan

memberUid: lisi

memberUid: test01

memberUid: test02

memberUid: test04


# zhangsan, People, contoso.com

dn: uid=zhangsan,ou=People,dc=contoso,dc=com

objectClass: posixAccount

objectClass: top

objectClass: inetOrgPerson

givenName: zhang

sn: san

displayName: zhang san

uid: zhangsan

homeDirectory: /home/zhangsan

loginShell: /bin/bash

physicalDeliveryOfficeName: 1001

o: contoso.com

title: IT

cn: zhang san

uidNumber: 16474

gidNumber: 10001

userPassword:: e1NTSEF9V2kxcldOVXQybVVrYzRFSnY0ank2dG1QaHBOTmFsa3hWR3RsWWxGRFQ

 wST0=


# test, Group, contoso.com

dn: cn=test,ou=Group,dc=contoso,dc=com

objectClass: posixGroup

objectClass: top

cn: test

description: Test Group

gidNumber: 3401


# lisi, People, contoso.com

dn: uid=lisi,ou=People,dc=contoso,dc=com

objectClass: posixAccount

objectClass: top

objectClass: inetOrgPerson

objectClass: shadowAccount

givenName: li

sn: si

displayName: li si

uid: lisi

homeDirectory: /home/lisi

loginShell: /bin/bash

telephoneNumber: 110

physicalDeliveryOfficeName: 110

o: contoso.com

l: Shenzhen

title: IT

uidNumber: 7164

shadowFlag: 0

shadowMin: 90

shadowMax: 99999

shadowWarning: 7

shadowInactive: 99999

shadowLastChange: 12011

shadowExpire: 99999

cn: li si

gidNumber: 10001

userPassword:: e1NTSEF9djlJUFB3OU5pVmR3enVnMDBzYmYvQXN0a3laQ05VSjBZa0pIVkZCYU5

 YZz0=


# test01, People, contoso.com

dn: uid=test01,ou=People,dc=contoso,dc=com

objectClass: posixAccount

objectClass: top

objectClass: inetOrgPerson

givenName: test01

uid: test01

sn: test01

homeDirectory: /home/test01

loginShell: /bin/bash

st: CN

telephoneNumber: 110

physicalDeliveryOfficeName: 110

o: contoso.com

l: Shenzhen

title: IT

cn: test01

uidNumber: 12586

gidNumber: 10001

userPassword:: e1NTSEF9YkJuMVA5NGhMSXhQQUpzSU1hem5VYzUza1M1WWNHbFVkV05XZUVFNVM

 yVT0=


# test02, People, contoso.com

dn: uid=test02,ou=People,dc=contoso,dc=com

objectClass: posixAccount

objectClass: top

objectClass: inetOrgPerson

uid: test02

loginShell: /bin/bash

st: CN

telephoneNumber: 110

physicalDeliveryOfficeName: 110

o: contoso.com

l: Shenzhen

title: IT

cn: test01

uidNumber: 12587

givenName: test02

sn: test02

homeDirectory: /home/test02

gidNumber: 10001

userPassword:: e1NTSEF9bjJjVHQ4cVgyZGdzL3k0UkxUWEhodFl4SzVGVGNVMDJVWGd5YVZoQ1N

 Iaz0=


# test04, People, contoso.com

dn: uid=test04,ou=People,dc=contoso,dc=com

objectClass: posixAccount

objectClass: top

objectClass: inetOrgPerson

gidNumber: 0

givenName: test04

sn: test04

displayName: test04

uid: test04

homeDirectory: /home/test04

loginShell: /bin/bash

telephoneNumber: sfa

physicalDeliveryOfficeName: safas

o: sdfasf

facsimileTelephoneNumber: sfa

l: fasfsdaf

title: sfas

cn: test04

uidNumber: 35426

userPassword:: e1NTSEF9dWdsR1M2Y252SGJFckU2dDhkVTM2UDJyZWFkRVpGRXhVVTh2YWpCMWI

 wcz0=


# jira-users, Group, contoso.com

dn: cn=jira-users,ou=Group,dc=contoso,dc=com

objectClass: posixGroup

objectClass: top

cn: jira-users

description: jira-users

gidNumber: 1587

memberUid: test04


# search result

search: 2

result: 0 Success


# numResponses: 12

# numEntries: 11

11、成功配置完成ldap目录之后,jira会自动与ldap进行同步,可以在用户管理下的用户界面中看到openldap中的用户。

wKiom1gA9UqjJdvfAAG8z50qoI0678.jpg-wh_50

12、在上一步,我发现用户同步过来之后是在tech组,但是tech组是openldap中的组,在jira中是没有定义这个组的角色的,所以我需要定义这个tech组的角色。(因为我设置的ldap permissions是只读的,所以同步过来的用户组是ldap的用户组,并没有添加到jira默认的用户组中,如果选择第二项Read-Only with local groups就可以将同步过来的用户添加到设置好的jira组中)

打开系统中的全局权限菜单,然后在右侧可以看到jira默认的项目角色,我要做的就是将openldap中的用户组tech添加jira的权限,方式就是使用下方的添加权限菜单,然后给tech添加“JIRA用户”和“创建共享的对象”等两个权限,修改完成后如下图。

wKioL1gA9U_QasRjAAMKirueFBg407.jpg-wh_50

13、注销管理员登录,然后使用openldap中的账号进行登录测试。

wKioL1gA99njCGL9AAEk8rWFAJc542.jpg-wh_50

14、登录成功,进入jira的Dashboard界面,至此jira 6.3.6使用openldap认证结束。

wKioL1gA992h5CD0AAFZJpQq3I8647.jpg-wh_50



本文转自 jerry1111111 51CTO博客,原文链接:http://blog.51cto.com/jerry12356/1862090,如需转载请自行联系原作者

相关文章
|
API 数据安全/隐私保护
Argo CD接入LDAP认证或者gitea认证的方法
argocd默认是通过修改argocd-cm来添加账户的,添加完账户后,还需要使用argocd客户端命令去给账户设置密码,这肯定是比较麻烦的,为了方便使用,我们可以接入ldap认证或者gitea的oauth2认证。 这里我们主要写ldap认证,因为gitea没有提供组信息给dex,而ldap能返回组信息 ,gitea的接入会在文章的末尾进行简单介绍 关键词:argocd ldap dex
1941 1
Argo CD接入LDAP认证或者gitea认证的方法
ldap落地实战:svn集成ldap认证
上一篇文章我们介绍了LDAP的部署以及管理维护,那么如何接入LDAP实现账号统一认证呢?这篇文章将带你完成svn的接入验证 subversion集成openldap认证 系统环境:debian8.
2366 0
|
Kubernetes 容器
006_部署ldap
006_部署ldap
102 0
|
缓存 jenkins 持续交付
LDAP落地实战(四):Jenkins集成OpenLDAP认证
前几篇分文章分别介绍了OpenLDAP的部署管理和维护以及svn、git的接入,今天我们再下一城接入jenkins。 LDAP系列文章: LDAP:OpenLDAP部署及管理维护 LDAP落地实战:subversion集成OpenLDAP认证 LDAP落地实战:gitlab集成OpenLDAP认证 jenkins集成OpenLDAP认证 1.
3699 0
|
网络安全
Confluence 6 通过 SSL 连接 LDAP 和 Jira 应用等其他服务
这个页面的文档将会配置 SSL,而不是 Confluence 自己。Atlassian 将会支持 Confluence 使用这个配置,但是我们不能保证能够解决所有你在 SSL 中遇到的问题。
1336 0
ldap落地实战:gitlab集成openldap认证
上一篇文章介绍了svn集成openldap认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍gitlab如何集成openldap实现账号认证 gitlab集成openldap认证 修改配置文件gitlab.
4038 0
|
安全 网络安全 开发工具
LDAP落地实战(三):GitLab集成OpenLDAP认证
上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP认证 修改配置文件gitlab.
3066 0
|
数据安全/隐私保护 Apache
LDAP落地实战(二):SVN集成OpenLDAP认证
上一篇文章我们介绍了LDAP的部署以及管理维护,那么如何接入LDAP实现账号统一认证呢?这篇文章将带你完成svn的接入验证 subversion集成OpenLDAP认证 系统环境:debian8.
1965 0
|
数据库 数据安全/隐私保护 网络协议