JFrog


    云客户?
    开始免费>
    在MyJFrog >中升级
    云>有什么新消息





    使用旧版本?JFrog Artifactory 6.倍|JFrog x光2.倍|JFrog任务控制3.x|JFrog分布的1.倍|


    跳转到元数据末尾
    去元数据开始

    介绍

    JFrog平台部署(JPD)支持与Active Directory服务器集成,以认证用户和同步组。

    当配置并激活了使用Active Directory的身份验证时,JPD首先尝试根据Active Directory服务器对用户进行身份验证。如果身份验证失败,JPD将尝试通过其内部数据库进行身份验证。

    对于在Active Directory服务器中配置的每个外部身份验证用户,JPD在内部数据库中创建一个新用户(假设该用户不存在),并自动将该用户分配给默认组。

    在Artifactory 7.38中实现的web更改。x和上面

    安全性现在被称为身份验证提供者。本页上的所有相关文字和图片都已更新,以反映这一变化。

    页面内容


    使用活动目录

    在Artifactory 7.38中实现的web更改。x和上面

    安全性现在被称为身份验证提供者。本页上的所有相关文字和图片都已更新,以反映这一变化。

    我们将通过一个例子描述如何配置JPD以使用活动目录。

    考虑一个必须支持以下条件的Active Directory服务器:

    • 用户位于两个地理上分离的站点。一些在美国(被指定为“US”),而另一些在以色列(被指定为“il”)。
    • 每个站点在活动目录树的不同位置定义了用户和组,如下所示。

    活动目录结构

    要配置Active Directory认证,请在管理模块,去认证提供者| LDAP并点击

    配置参数如下:

    设置名称
    		 Active Directory设置的唯一ID。
    启用

    设置后,将启用这些设置。
    LDAP URL

    Active Directory服务器LDAP接入点的位置,格式如下:ldap: / / myserver: myport / dc = sampledomain, dc = com

    URL可能包括用于搜索和/或认证用户的基准DN。如果未指定,则搜索基地字段是必需的。
    自动创建系统用户
    		 设置后,JPD会自动为那些使用Active Directory登录的用户创建新用户。任何新创建的用户都会关联到默认组。
    允许创建的用户访问个人资料页面
    		 设置完成后,自动创建的用户将可以访问他们的个人资料页面,并执行诸如生成API密钥等操作。
    用户DN模式

    一种DN模式,用于将用户直接登录到LDAP数据库中。

    活跃的导演y,我们建议将此字段留空只有在允许匿名绑定并可以使用直接用户DN的情况下才有效,而这并不是Active Directory的默认情况。
    电子邮件属性

    一个可以用来将用户的邮件映射到JPD自动创建的用户的属性。

    这对应于邮件在Active Directory中。
    搜索过滤器

    一个过滤器表达式,用于搜索Active Directory认证中使用的用户DN。
    这是一个带有可选参数的LDAP搜索过滤器(在'RFC 2254'中定义)。在本例中,用户名是唯一的参数,用“{0}”

    对于Active Directory,对应的字段应该是sAMAccountName = {0}
    搜索基地

    相对于Active Directory URL中的基DN,要搜索的上下文名称。这个参数是可选的,但如果可能的话,我们强烈建议您设置它,以防止在Active Directory树中进行长时间的搜索。将此字段保留为空将显著降低活动目录集成的速度。

    下面例子中的配置表明,搜索应该只在“青蛙/il”或“青蛙/我们”下执行。这提高了搜索性能,因为JPD不会在“青蛙”条目的范围之外进行搜索。
    经理DN

    具有查询Active Directory服务器权限的用户的完整DN。当使用LDAP组时,用户应该拥有任何额外的组属性的权限,例如memberOf。
    密码管理器

    使用“搜索”身份验证时绑定到Active Directory服务器的用户密码。
    搜索子树
    		 设置后,启用通过Active Directory URL +搜索库的子树进行深度搜索。真正的默认。

    导入Active Directory组

    Active Directory组可以使用a静态映射策略或动态一个(Active Directory两者都适用)。

    唯一的区别是在相应的Active Directory条目上定义的属性:

    • 静态映射策略定义了一个“成员”多值属性集团包含组成员的用户dn的条目
    • “Dynamic”配置定义了一个“memberOf”多值属性用户的组dn条目用户所属的组。

    Active Directory支持这两种配置,所以您可以选择适合您组织结构的配置。

    支持嵌套组

    JFrog平台支持与Active Directory“Nested Groups”同步。

    从Artifactory7.3,一种改进的支持活动目录“嵌套组”搜索,在使用LDAP时提供性能改进。

    先决条件

    该特性要求Active Directory在Windows Server 2012 R2或更高版本上运行。对于Windows Server端的Active Directory没有额外的要求。

    要启用该功能:

    • 用组设置定义设置动态策略
    • 设置msds-memberOfTransitive成员属性的值。

    映射策略:动态
    组成员关系属性:msds-memberOfTransitive
    组名称属性:cn
    过滤器:(objectClass =组)

    的一部分,微软为规则链匹配提供了唯一的OID搜索筛选器语法,因此,当使用此OID对Active Directory执行LDAP查询时,Active Directory将根据用户的主组成员关系返回所有组的列表。

    映射策略:静态
    组成员属性:成员:1.2.840.113556.1.4.1941:
    组名称属性:cn
    过滤器:(objectClass =组)

    设置如下所示。

    使用安全活动目录

    要使用安全的活动目录与有效的证书从一个受Java信任的CA,你所需要做的就是在你的设置中使用一个安全的活动目录URL,例如。ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com

    如果您想使用非受信任(自签名)证书的安全活动目录,请遵循管理TLS证书

    经理DN

    要根据您的Active Directory服务器构造Manager DN字符串,导航到具有管理员权限的用户(例如administrator(1)),然后从user以相反的顺序(2,3)向上构造文件夹层次结构的Manager DN。

    例如,在这个简单的配置中,这里的Manager DN应该是
    cn =管理员,cn =用户,dc = alljfrog, dc = org

    注意,域(3)被反向拆分为
    dc = alljfrog, dc = org
    经理DN
    版权所有©2022 JFrog Ltd.。