JFrog


    云客户?
    免费开始>
    在MyJFrog中升级>
    云的新功能>





    使用旧版本?JFrog Artifactory 6.x|JFrog x射线2.x|JFrog任务控制中心|JFrog发行1.x|


    跳到元数据的末尾
    转到元数据的开始

    概述

    JFrog平台支持针对LDAP服务器进行开箱即用的用户身份验证。

    激活LDAP身份验证时,JFrog平台单元(JPD)第一次尝试验证te t将用户与LDAP服务器绑定。如果LDAP身份验证失败,那么它将尝试通过其内部数据库进行身份验证。

    对于每个经过身份验证的LDAP用户,都会在内部数据库中创建一个新用户(如果该用户不存在),并自动将该用户分配给默认组。

    管理LDAP组权限

    在管理基于组的权限时,可以同步LDAP组,同时利用现有的组织结构。系统中的LDAP组使用超高速缓存,并支持静态、动态和分层映射策略。

    通过多个可切换的LDAP设置和关于来自LDAP的组和用户的最新状态的可视化反馈,可以实现强大的管理。

    有关如何将LDAP组与Artifactory同步的详细信息,请参考LDAP组

    使用活动目录?

    如果使用活动目录对用户进行身份验证,请参考活动目录

    在Artifactory 7.38中实现的web更改。X及以上

    安全性现在称为身份验证提供程序。本页上的所有相关文本和图像都已更新以反映这一变化。

    页面内容


    配置

    在Artifactory 7.38中实现的web更改。X及以上

    安全性现在称为身份验证提供程序。本页上的所有相关文本和图像都已更新以反映这一变化。

    配置LDAP身份验证,在政府模块转到身份验证提供程序| LDAP并点击新的LDAP设置

    LDAP连接设置的配置参数如下:

    启用
    		 设置后,将启用这些设置。
    设置名称
    		 LDAP设置的唯一ID。
    LDAP URL

    LDAP服务器的位置信息,格式如下:ldap: / / myserver: myport / dc = sampledomain, dc = com

    URL应该包括用于搜索和/或验证用户的基本DN。
    自动创建系统用户
    		 设置后,系统将自动为使用LDAP方式登录的用户创建新用户,并将其分配到默认组中。
    允许创建的用户访问配置文件页面
    		 设置后,使用LDAP登录后创建的用户将能够访问其配置文件页面。
    已使用页面结果
    		 设置后,支持LDAP服务器的分页结果。该特性要求LDAP服务器支持PagedResultsControl配置。
    用户DN模式

    一种DN模式,用于用户直接登录LDAP数据库。此模式用于为“直接”用户身份验证创建DN字符串,并且相对于LDAP URL中的基本DN。

    模式参数{0}将在运行时被用户名替换。这仅在允许匿名绑定并且可以使用直接用户DN(这不是Active Directory的默认情况)时才有效。

    例如:
    uid = {0}, ou =
    电子邮件属性
    		 用于将用户的电子邮件映射到系统自动创建的用户的属性。
    搜索过滤器

    用于搜索LDAP认证中使用的用户DN的过滤表达式。
    这是一个带有可选参数的LDAP搜索过滤器(如'RFC 2254'中定义的那样)。在这种情况下,用户名唯一的参数是否用“{0}”

    可能的例子有:
    uid = {0})-这将在uid属性上搜索用户名匹配。
    使用LDAP的身份验证如果成功,将从找到的DN执行。
    搜索基地
    		 相对于LDAP URL中的base DN,要搜索的上下文名称。可以用管道(|)分隔多个搜索基。是可选参数。
    安全LDAP搜索
    		 通过过滤暴露于漏洞的用户来防止LDAP中毒。
    搜索子树
    		 配置后,通过LDAP URL +搜索库的子树进行深度搜索。默认为True。
    经理DN

    具有查询LDAP服务器权限的用户的完整DN。在使用LDAP组时,用户应该具有任何额外组属性的权限,例如memberOf。
    密码管理器

    使用“search”认证时绑定到LDAP服务器的用户密码。
    测试LDAP连接
    		 运行LDAP测试以验证您的设置是否正确。

    LDAP组

    LDAP Groups Add-on允许您将LDAP组与系统同步,并利用现有的组织结构来管理基于组的权限。

    与许多LDAP集成不同,LDAP组使用超高速缓存,并支持静态、动态和分层映射策略。通过多个可切换的LDAP设置和关于来自LDAP的组和用户的最新状态的可视化反馈,可以实现强大的管理。

    LDAP组同步的工作原理是告诉系统通过认证的用户属于哪个外部组。登录后,您将自动与您的LDAP组关联,并继承系统中管理的基于组的权限。

    确保用户登录

    同步LDAP组不会自动创建属于这些组的用户。配置LDAP连接后,用户第一次登录系统时才会在系统中创建LDAP用户。用户的自动创建可以通过自动创建用户复选框。


    使用

    在Artifactory 7.38中实现的web更改。X及以上

    安全性现在称为身份验证提供程序。本页上的所有相关文本和图像都已更新以反映这一变化。

    LDAP组设置可在政府模块下身份验证提供程序| LDAP

    要使用LDAP组,必须首先从LDAP设置屏幕设置LDAP服务器进行身份验证。您还必须提醒系统要与现有LDAP模式一起使用的正确LDAP组设置。

    Active Directory用户

    有关为Active Directory安装设置LDAP组的具体帮助,请参阅活动目录

    组同步策略

    JFrog平台部署(JPD)支持三种将组映射到LDAP模式的方法:

    • 静态:组对象知道它们的成员,但是用户不知道它们属于哪个组。
      每个组对象,如groupOfNamesgroupOfUniqueNames)通常保存其各自的成员属性成员uniqueMember,即用户DN。
    • 动态:用户对象知道它们属于哪个组,但是组对象不知道它们的成员。
      每个用户对象都包含一个自定义属性,例如集团,其中包含用户所属的组DNs或组名。
    • 层次结构:用户DN通过组名作为用户DN层次结构的一部分来表示该用户所属的组。
      每个用户DN包含一个列表的或组成组关联的自定义属性。
      例如,
      uid = user1, ou =开发者,ou =英国,dc = jfrog, dc = org表明user1分为两类:英国开发人员

    使用OpenLDAP

    在使用OpenLDAP时,不能应用动态策略,因为memberOf属性默认情况下未定义(memberOf是覆盖),因此JPD将无法从LDAP服务器获取它。


    同步LDAP组和JPD

    在Artifactory 7.38中实现的web更改。X及以上

    安全性现在称为身份验证提供程序。本页上的所有相关文本和图像都已更新以反映这一变化。

    通过用户界面导入组

    配置了如何从LDAP服务器检索组之后,可以通过单击刷新按钮同步LDAP组sub-panel。根据您的设置,将显示可用的LDAP组列表。

    现在可以将组同步/导入到系统中。groups表允许您选择要导入的组,并显示每个组的同步状态:

    组可以是全新的,也可以是jsp中已经存在的。如果一个组已经存在于系统中,它可能会过时(例如,如果组DN已经更改)—表中会指出这一点,以便您可以选择重新导入它。

    导入(同步)组后,将在系统中创建一个新的外部LDAP组,并使用该组的名称。

    一旦导入了LDAP组,就可以管理权限和普通的日本警局小组一样。用户与这些组的关联是外部的,由LDAP严格控制。

    确保启用了LDAP组设置(在LDAP组设置面板),以使您的设置生效。

    要通过UI同步组,请在政府模块,在认证提供商| LDAP选择要同步的组,然后搜索在相应组设置下定义的组。找到组后,选择导入。

    一旦组被同步,您应该在组列表中看到它们(政府模块下认证提供程序|组)表示为外部

    使用REST API

    同步LDAP组也可以使用创建或替换组创建具有ldap域和ldap服务器下组对象的完整DN路径的组。

    限制

    确保仅在通过REST API创建LDAP组时使用小写字母。使用大写或混合大小写将阻止组的同步。

    当使用REST API同步LDAP组时,需要为LDAP服务器上的组指定准确的完整组DN路径。下面的示例显示了用于同步以下LDAP服务器中显示的"testgroup"组的JSON有效负载:

    LDAP服务器架构

    JSON示例:{"name": "testgroup", "description": "This groups already exists in ldap", "autoJoin": false, "realm": "ldap", " realmatattributes ": "ldapGroupName=testgroup;groupsStrategy=STATIC;groupDn=cn=testgroup,ou=support,ou=UserGroups,dc=openstack,dc=org"}

    自定义LDAP超时/ LDAP引用策略

    目前,要在Artifactory中自定义LDAP超时/ LDAP引用策略,您需要将以下属性添加到artifactory.system.property

    “artifactory.security.ldap.connect。timeout连接时间。缺省值:10000ms的artifactory.security.ldap.socket。timeoutMillis为readreply超时。缺省值:15000ms。referralStrategy'用于引用策略(值可以是'follow', 'ignore', 'throw')。默认值:follow

    执行LDAP组属性动态搜索

    在Artifactory 7.37.9中,您可以通过设置真正< forceAttributeSearch > < / forceAttributeSearch >在配置描述符中。

     < ldapgroupsettings > demo true


    非用户界面认证缓存


    您可以配置系统缓存针对外部系统(如LDAP)的REST API请求的身份验证数据。这意味着用户第一次需要进行身份验证时,系统将向外部系统查询用户的权限、组设置等。从外部系统接收到的信息将缓存一段时间,您可以在 JFROG_HOME美元/ artifactory / var / etc / artifactory / artifactory.system.properties 文件的 artifactory.security.authentication.cache.idleTimeSecs 财产。 这意味着一旦用户通过身份验证,当身份验证数据被缓存时,Artifactory将使用缓存的数据而不是查询外部系统,从而实现更快的身份验证。 默认设置为300秒。

    仅支持REST API

    缓存只与REST API请求相关,与使用UI无关。

    Docker缓存请求需要Docker v2令牌

    缓存Docker请求需要使用Docker v2令牌。启用了令牌认证的Docker客户端或智能远程存储库,总是在初始请求中引用v2令牌,并适用于所有Docker命令类型(Pull, Push等)。然后将检索到的令牌用于对Artifactory的所有后续请求。例如,当使用相同的Docker Pull请求拉Docker层时。


    避免使用明文密码

    将LDAP密码以明文形式存储在磁盘上的settings.xml中是一个很大的安全威胁,因为该密码非常敏感,并且用于对域中其他资源的单点登录。2022世界杯阿根廷预选赛赛程
    在使用LDAP时,我们强烈建议使用警局的加密密码在您的本地设置中。

    防止身份验证回退到本地人工领域

    在某些情况下,作为管理员,您可能希望要求用户使用LDAP密码通过LDAP对自己进行身份验证。
    但是,如果用户在系统中已经有一个内部帐户并设置了密码,则可以设置LDAP认证失败时系统回退使用该用户的内部密码。

    您可以通过确保设置“编辑用户”对话框中的“禁用内部密码”复选框来防止这种回退身份验证。


    使用LDAPS(安全LDAP)

    要将LDAPS与来自Java信任的CA的有效证书一起使用,您所需要做的就是在设置中使用安全的LDAP URL,例如:ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com

    如果希望将LDAPS与不受信任的(自签名的)证书一起使用,请遵循中描述的步骤使用TLS证书作为客户端

    不支持SaaS客户的安全LDAP、自签名证书。

    版权所有©2022 JFrog Ltd.