使用Artifactoryx ?
JFrog Artifactoryx用户指南
有问题吗?想要报告问题?联系JFrog支持
跳到元数据的末尾
进入元数据的开始
概述
LDAP Groups Add-on允许您将LDAP组与Artifactory同步,并利用现有的组织结构来管理基于组的权限。
与许多LDAP集成不同,Artifactory中的LDAP组使用超快速缓存,并同时支持静态、动态和分层映射策略。强大的管理通过多个可切换的LDAP设置和来自LDAP的组和用户的最新状态的可视反馈来实现。
LDAP组同步是通过向Artifactory指示经过身份验证的用户所属的外部组来实现的。登录后,您将自动与LDAP组关联,并继承在Artifactory中管理的基于组的权限。
使用
LDAP组设置可在管理模块下安全| LDAP。
要使用LDAP组,首先必须配置LDAP服务器进行认证进入“LDAP Settings”界面。您还必须提醒Artifactory正确的LDAP组设置,以便与您现有的LDAP模式一起使用。
Active Directory用户
有关为Active Directory安装设置LDAP组的具体帮助,请参见使用Active Directory管理安全性.
组同步策略
Artifactory支持将组映射到LDAP模式的三种方式:
- 静态:组对象知道它们的成员,但是用户不知道它们所属的组。
每个组对象如groupOfNames或groupOfUniqueNames)通常保存其各自的成员属性成员或uniqueMember,即用户DN。
- 动态:用户对象知道他们属于什么组,但是组对象不知道他们的成员。
每个用户对象都包含一个自定义属性,例如集团,其中包含用户所属的组dn或组名。
- 层次结构:用户DN表示用户所属的组,组名作为用户DN层次结构的一部分。
每个用户DN包含的列表欧的或组成组关联的自定义属性。
例如,uid = user1, ou =开发者,ou =英国,dc = jfrog, dc = org表明user1属于两类:英国而且开发人员.
使用OpenLDAP
在使用OpenLDAP时,不能应用动态战略,因为memberOf属性默认情况下没有定义(memberOf是一个覆盖),因此Artifactory将无法从LDAP服务器获取它。
向Artifactory同步LDAP组
通过用户界面导入分组
配置了如何从LDAP服务器检索组之后,可以通过单击刷新按钮。同步LDAP组sub-panel。根据您的设置,将显示可用的LDAP组列表。
现在可以将组同步/导入Artifactory了。groups表允许您选择要导入的组,并显示每个组的同步状态:
一个组可以是全新的,也可以是Artifactory中已经存在的。如果一个组已经存在于Artifactory中,它可能会过时(例如,如果组DN已更改)——这在表中表示,以便您可以选择重新导入它。
导入(同步)组后,将在Artifactory中创建一个新的外部LDAP组,并使用组的名称。
导入LDAP组之后,就可以这样做了管理权限就像常规的Artifactory小组一样。用户与这些组的关联是外部的,由LDAP严格控制。
确保已启用LDAP组设置(在LDAP组设置面板),以便使您的设置生效。
通过用户界面同步组管理模块,在安全| LDAP选择要同步的组,然后搜索在相应的组设置下定义的组。找到组后,选择导入。
组同步后,您应该在组列表(管理模块下安全|组)显示为“外部”。
使用REST API
属性也可以同步LDAP组创建组REST API使用ldap域和ldap服务器下的组对象的完整DN路径创建组。
限制
确保仅在通过REST API创建LDAP组时使用小写。使用大写或混合大小写将阻止组的同步。
当使用REST API同步LDAP组时,您需要在LDAP服务器上为组指定准确且完整的Group DN路径。下面的例子显示了你用来同步下面LDAP服务器中显示的“testgroup”组的JSON有效负载:
JSON示例:{"name": "testgroup", "description": "This groups already exists in ldap", "autoJoin": false, "realm": "ldap", "realmAttributes": "ldapGroupName=testgroup;groupsStrategy=STATIC;groupDn=cn=testgroup,ou=support,ou=UserGroups,dc=openstack,dc=org"}
观看录像
概述
内容的工具