使用Artifactory 5。x ?
JFrog Artifactoryx用户指南
有问题吗?想要报告问题?联系JFrog技术支持
介绍
Artifactory支持根据LDAP服务器对用户进行身份验证开箱即用的.
当LDAP身份验证激活时,Artifactory首先尝试根据LDAP服务器对用户进行身份验证。如果LDAP身份验证失败,Artifactory将尝试通过其内部数据库进行身份验证。
对于每个经过身份验证的LDAP用户,Artifactory在内部数据库中创建一个新用户(假设该用户不存在),并自动将该用户分配给默认组。
管理LDAP组权限
Artifactory可以同步LDAP组,并在管理基于组的权限时利用现有的组织结构。Artifactory中的LDAP组使用超高速缓存,并支持静态、动态和分层映射策略。
通过多个可切换的LDAP设置和关于来自LDAP的组和用户的最新状态的可视化反馈,可以实现强大的管理。
LDAP组特性是作为Artifactory Pro中包含的一个附加组件捆绑在一起的。
有关如何将LDAP组与Artifactory同步的详细信息,请参考LDAP组.
使用活动目录?
如果使用活动目录对用户进行身份验证,请参考使用活动目录管理安全性.
配置
配置LDAP身份验证,在管理模块转到安全| LDAP并点击新.
LDAP连接设置的配置参数如下:
设置名称 |
LDAP设置的唯一ID。 |
启用 |
设置后,将启用这些设置。 |
LDAP URL |
LDAP服务器的位置信息,格式如下: URL应该包括用于搜索和/或验证用户的基本DN。 |
用户DN模式 |
一种DN模式,用于用户直接登录LDAP数据库。此模式用于为“直接”用户身份验证创建DN字符串,并且相对于LDAP URL中的基本DN。 模式参数{ 例如: |
自动创建人工用户 |
设置后,Artifactory将自动为使用LDAP登录的用户创建新用户,并将其分配给默认组。 |
电子邮件属性 |
一个属性,可用于将用户的电子邮件映射到由Artifactory自动创建的用户。 |
搜索过滤器 |
用于搜索LDAP认证中使用的用户DN的过滤表达式。 可能的例子有: |
搜索基地 |
相对于LDAP URL中的base DN,要搜索的上下文名称。可以用管道(|)分隔多个搜索基。是可选参数。 |
经理DN |
具有查询LDAP服务器权限的用户的完整DN。在使用LDAP组时,用户应该具有任何额外组属性的权限,例如memberOf。 |
密码管理器 |
使用“search”认证时绑定到LDAP服务器的用户密码。 |
搜索子树 |
配置后,通过LDAP URL +搜索库的子树进行深度搜索。默认为True。 |
非用户界面认证缓存
您可以将Artifactory配置为针对外部系统(如REST API请求的LDAP)缓存有关身份验证的数据。这意味着用户第一次需要进行身份验证时,Artifactory将查询外部系统以获取用户的权限、组设置等。
从外部系统接收到的信息将缓存一段时间,您可以在美元ARTIFACTORY_HOME / etc / artifactory.system.properties
文件的artifactory.security.authentication.cache.idleTimeSecs
财产。
这意味着一旦用户通过身份验证,当身份验证数据被缓存时,Artifactory将使用缓存的数据,而不是查询外部系统,因此身份验证要快得多
默认设置为300秒。
仅支持REST API
缓存只与REST API请求相关,而与使用Artifactory UI无关。
避免使用明文密码
以明文形式存储LDAP密码settings.xml
这是一个很大的安全威胁,因为这个密码非常敏感,并且在对域中其他资源的SSO中使用。2022世界杯阿根廷预选赛赛程
在使用LDAP时,我们强烈建议使用Artifactory的加密密码在您的本地设置中。
防止身份验证回退到本地人工领域
在某些情况下,作为管理员,您可能希望要求用户使用LDAP密码通过LDAP对自己进行身份验证。
但是,如果用户在Artifactory中已经拥有一个带有密码的内部帐户,那么在LDAP身份验证失败时,Artifactory可以回退到使用其内部密码。
可以通过确保禁用内部密码复选框中的编辑用户对话框设置。
使用LDAPS(安全LDAP)
要使用具有由Java信任的CA颁发的有效证书的LDAPS,您所需要做的就是在设置中使用安全的LDAP URL,例如:ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com.
如果希望将LDAPS与不受信任的(自签名的)证书一起使用,请按照中描述的步骤操作使用自签名证书.