跳到元数据的末尾
进入元数据的开始

简介

Artifactory支持与Active Directory服务器集成,以对用户进行身份验证并同步组。

当配置并激活了使用Active Directory的身份验证时,Artifactory首先尝试根据Active Directory服务器验证用户。如果身份验证失败,Artifactory将尝试通过其内部数据库进行身份验证。

对于Active Directory服务器中配置的每个外部身份验证用户,Artifactory在内部数据库中创建一个新用户(假设该用户还不存在),并自动将该用户分配给默认组。

页面内容



使用Active Directory

我们将通过一个示例描述如何配置Artifactory以使用Active Directory。

考虑一个Active Directory服务器必须支持以下条件:

  • 用户位于两个地理上分离的站点。一些人在美国(指定为“我们”),而另一些人在以色列(指定为“il”)。
  • 每个站点在Active Directory树的不同位置定义用户和组,如下所示。

Active Directory结构

配置Active Directory认证,请在管理模块,转到安全| LDAP并点击

配置Active Directory认证

配置参数如下:

设置名称
Active Directory设置的唯一ID。
启用

设置后,将启用这些设置。

Active Directory URL

Active Directory服务器LDAP接入点的位置,格式如下:ldap: / / myserver: myport / dc = sampledomain, dc = com

URL可以包括用于搜索和/或验证用户的基本DN。如果未指定,则搜索基地字段为必填项。

用户DN模式

一种DN模式,用于将用户直接登录到LDAP数据库。

在职董事y,我们建议保留此字段为空只有在允许匿名绑定且可以使用直连用户DN的情况下才有效,而Active Directory不默认这种情况。

自动创建人工用户
设置后,Artifactory将自动为已经使用Active Directory登录的用户创建新用户。任何新创建的用户都将关联到默认组。
电子邮件属性

可用于将用户的电子邮件映射到Artifactory自动创建的用户的属性。

这对应于邮件字段。

搜索过滤器

用于搜索Active Directory身份验证中使用的用户DN的筛选器表达式。
这是一个带有可选参数的LDAP搜索过滤器(在'RFC 2254'中定义)。在这种情况下,用户名唯一的参数是“{0}”

对于Active directory,相应的字段应该是sAMAccountName = {0}

搜索基地

相对于Active Directory URL中的基准DN,要在其中搜索的上下文名称。此参数是可选的,但如果可能的话,我们强烈建议您将其设置为防止在Active Directory树上进行长时间搜索。将此字段留空将大大减慢活动目录集成的速度。

以下示例中的配置表明,搜索应该只在“frogs/il”或“frogs/us”下执行。这提高了搜索性能,因为Artifactory不会搜索“蛙”条目范围之外的内容。

经理DN

具有查询Active Directory服务器权限的用户的全DN。在使用LDAP组时,用户应该对任何额外的组属性具有权限,例如memberOf。

密码管理器

使用“search”认证时绑定Active Directory服务器的用户密码。

搜索子树
设置时,启用通过Active Directory URL + search Base的子树进行深度搜索。默认为True。

导入Active Directory组

导入Active Directory组可以使用静态映射策略或动态一个(Active Directory两者都适用)。

唯一的区别是在相应的Active Directory条目上定义的属性:

  • 对象上定义了一个“成员”多值属性集团包含组成员的用户dn的条目
  • “Dynamic”配置定义了一个“memberOf”多值属性上的用户的组dn用户所属的组。

Active Directory支持这两种配置,因此您可以选择适合您组织结构的配置。

静态映射策略动态映射策略

支持嵌套组

Artifactory支持与活动目录“嵌套组”同步。


1.从Artifactory6.18,一种改进的活动目录 支持活动目录“嵌套组”搜索,在使用LDAP时可以提高性能。若要启用该特性,请使用组设置定义设置“动态策略”,并设置msds-memberOfTransitive成员属性的值。该特性要求Active Directory在Windows Server 2012 R2或更高版本上运行。Active Directory Windows Server端没有附加要求。

映射策略:动态
组成员属性msds-memberOfTransitive
组名称: cn
过滤器(objectClass =集团)

2. 的一部分,微软为规则链匹配提供了唯一的OID 搜索筛选器语法 ,所以当使用这个OID对Active Directory执行LDAP查询时,Active Directory返回一个用户的主组成员继承的所有组的列表。
下图为示例:
映射策略:静态
组成员属性:会员:1.2.840.113556.1.4.1941:
组名称: cn
过滤器(objectClass =集团)

使用安全活动目录

要使用Java信任的CA的有效证书来使用安全活动目录,您所需要做的就是在您的设置中使用一个安全活动目录URL,例如:ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com

如果要将安全活动目录与非受信任(自签名)证书一起使用,请遵循中描述的步骤使用自签名证书


经理DN

要根据您的Active Directory服务器构造Manager DN字符串,请导航到具有管理员权限的用户(例如administrator(1)),然后按照从user到文件夹层次结构的相反顺序(2,3)构造Manager DN。

例如,在这个简单的配置中,Manager DN应该是
cn =管理员,cn =用户,dc = alljfrog, dc = org

请注意,域(3)按相反的顺序被分割
dc = alljfrog, dc = org

经理DN






  • 没有标签