简介
Artifactory支持根据LDAP服务器对用户进行身份验证开箱即用的.
当LDAP身份验证激活时,Artifactory首先尝试根据LDAP服务器对用户进行身份验证。如果LDAP身份验证失败,Artifactory将尝试通过其内部数据库进行身份验证。
对于每个经过LDAP身份验证的用户,Artifactory在内部数据库中创建一个新用户(假设该用户还不存在),并自动将该用户分配给默认组。
LDAP组权限管理
在管理基于组的权限时,Artifactory可以同步LDAP组并利用现有的组织结构。Artifactory中的LDAP组使用超快速缓存,并支持静态、动态和分层映射策略。
强大的管理通过多个可切换的LDAP设置和来自LDAP的组和用户的最新状态的可视反馈来实现。
的LDAP组功能被捆绑为Artifactory Power Pack中的一个附加组件。
配置
配置LDAP认证,请使用管理TAB转到安全| LDAP设置.
LDAP连接设置的配置参数如下:
设置名称 |
LDAP设置的唯一ID。 |
启用 |
设置后,将启用这些设置。 |
LDAP URL |
LDAP服务器位置信息,格式如下: URL应该包括用于搜索和/或验证用户的基本DN。 |
用户DN模式 |
一种DN模式,用于将用户直接登录到LDAP数据库。此模式用于创建用于“直接”用户身份验证的DN字符串,并且相对于LDAP URL中的基本DN。 模式参数{ 例如: |
自动创建人工用户 |
设置后,人工将自动为使用LDAP登录的用户创建新用户,并将他们分配到默认组。 |
电子邮件属性 |
可用于将用户的电子邮件映射到Artifactory自动创建的用户的属性。 |
搜索过滤器 |
用于搜索LDAP身份验证中使用的用户DN的筛选器表达式。 可能的例子有: |
搜索基地 |
相对于LDAP URL中的基准DN,要在其中搜索的上下文名称。该参数是可选的。 |
经理DN |
使用“搜索”身份验证时,用户绑定到LDAP服务器的DN。 |
密码管理器 |
使用“search”认证时绑定LDAP服务器的用户密码。 |
搜索子树 |
设置后,启用通过LDAP URL + search Base的子树进行深度搜索。默认为True。 |
缓存的身份验证
您可以配置Artifactory缓存外部系统(如LDAP)的身份验证数据。这意味着当用户第一次需要进行身份验证时,Artifactory将在外部系统中查询用户的权限、组设置等。
从外部系统接收的信息将缓存一段时间,您可以在美元ARTIFACTORY_HOME / etc / artifactory.system.properties
通过设置artifactory.security.authentication.cache.idleTimeSecs
财产。
这意味着一旦用户通过身份验证,而身份验证数据被缓存,Artifactory将使用缓存的数据,而不是查询外部系统,因此身份验证速度要快得多
默认情况下,该值设置为300秒。
避免使用明文密码
以明文形式存储LDAP密码settings.xml
是一个很大的安全威胁,因为这个密码非常敏感,用于SSO到域中的其他资源。2022世界杯阿根廷预选赛赛程
在使用LDAP时,我们强烈建议使用Artifactory的加密密码在您的本地设置中。
防止身份验证回退到本地Artifactory领域
在某些情况下,作为管理员,您可能需要用户使用其LDAP密码通过LDAP对自己进行身份验证。
但是,如果用户在Artifactory中已经拥有一个带有密码的内部帐户,那么在LDAP身份验证失败时,Artifactory可以退回到使用其内部密码。
方法可以防止这种回退身份验证禁用内部密码中的复选框编辑用户对话框已设置。
使用LDAPS(安全LDAP)
要使用具有Java信任的CA的有效证书的LDAPS,您所需要做的就是在您的设置中使用安全的LDAP URL,例如:ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com.
如果您想使用非受信任(自签名)证书的LDAPS,请遵循以下步骤(感谢Marc Schoechlin提供此信息):
- 下载ssl secure ldap服务器的CA
Openssl s_client -connect the.ldap.server.net:636 -showcerts < /dev/null > server.ca
- 识别CA证书,在BEGIN/END certificate maker之间只保留ascii文本
- 确定标准
除
您的Java安装文件 - 创建自定义
除
通过复制除
文件到Artifactory配置目录,例如:Cp /usr/lib64/jvm/java-1_6_0-ibm-1.6.0/jre/lib/security/cacerts /etc/opt/jfrog/artifactory/
- 导入CA证书到定制的cacerts文件
Keytool -import -alias myca -keystore除/etc/opt/jfrog/artifactory /-trustcacerts -file server.ca
=>密码:changeit
=>同意添加证书
- 的权限更改
artifactory
用户Chown 755 /etc/opt/jfrog/artifactory/cacerts
Chown artifactory:用户/etc/opt/jfrog/artifactory/cacerts
- 修改Artifactory JVM的默认值以使用自定义
除
文件echo "export JAVA_OPTIONS=\"\$JAVA_OPTIONS -Djavax.net.ssl.trustStore=/etc/opt/jfrog/artifactory/cacerts\" >> /etc/opt/jfrog/artifactory/default . txt
- 重启Artifactory
经理DN
要根据您的活动目录服务器构造管理器DN字符串,导航到Administrator用户(1),然后从user按相反的顺序(2,3)构造Manager DN,沿着文件夹层次结构向上。 请注意,域(3)按相反的顺序被分割 |
|