有问题吗?想要报告问题?联系JFrog技术支持

跳到元数据的末尾
转到元数据的开始

介绍

Artifactory支持根据LDAP服务器对用户进行身份验证开箱即用的

当LDAP身份验证激活时,Artifactory首先尝试根据LDAP服务器对用户进行身份验证。如果LDAP身份验证失败,Artifactory将尝试通过其内部数据库进行身份验证。

对于每个经过身份验证的LDAP用户,Artifactory在内部数据库中创建一个新用户(假设该用户不存在),并自动将该用户分配给默认组。

管理LDAP组权限

Artifactory可以同步LDAP组,并在管理基于组的权限时利用现有的组织结构。Artifactory中的LDAP组使用超高速缓存,并支持静态、动态和分层映射策略。

通过多个可切换的LDAP设置和关于来自LDAP的组和用户的最新状态的可视化反馈,可以实现强大的管理。
LDAP组特性是作为Artifactory Pro中包含的一个附加组件捆绑在一起的。

有关如何将LDAP组与Artifactory同步的详细信息,请参考LDAP组

使用活动目录?

如果使用活动目录对用户进行身份验证,请参考使用活动目录管理安全性

页面内容


配置

配置LDAP身份验证,在管理模块转到安全| LDAP并点击

新的LDAP设置

LDAP连接设置的配置参数如下:

设置名称
LDAP设置的唯一ID。
启用

设置后,将启用这些设置。

LDAP URL

LDAP服务器的位置信息,格式如下:ldap: / / myserver: myport / dc = sampledomain, dc = com

URL应该包括用于搜索和/或验证用户的基本DN。

自动创建人工用户
设置后,Artifactory将自动为使用LDAP登录的用户创建新用户,并将其分配给默认组。
允许创建的用户访问配置文件页面
设置后,使用LDAP登录后创建的用户将能够在Artifactory中访问他们的配置文件页面。
用户DN模式

一种DN模式,用于用户直接登录LDAP数据库。此模式用于为“直接”用户身份验证创建DN字符串,并且相对于LDAP URL中的基本DN。

模式参数{0}将在运行时被用户名替换。这仅在允许匿名绑定并且可以使用直接用户DN(这不是Active Directory的默认情况)时才有效。

例如:
uid = {0}, ou =

电子邮件属性
一个属性,可用于将用户的电子邮件映射到由Artifactory自动创建的用户。
搜索过滤器

用于搜索LDAP认证中使用的用户DN的过滤表达式。
这是一个带有可选参数的LDAP搜索过滤器(如'RFC 2254'中定义的那样)。在这种情况下,用户名唯一的参数是否用“{0}”

可能的例子有:
uid = {0})-这将在uid属性上搜索用户名匹配。
使用LDAP的身份验证如果成功,将从找到的DN执行。

搜索基地
相对于LDAP URL中的base DN,要搜索的上下文名称。可以用管道(|)分隔多个搜索基。是可选参数。
经理DN

具有查询LDAP服务器权限的用户的完整DN。在使用LDAP组时,用户应该具有任何额外组属性的权限,例如memberOf。

密码管理器

使用“search”认证时绑定到LDAP服务器的用户密码。

搜索子树
配置后,通过LDAP URL +搜索库的子树进行深度搜索。默认为True。

非用户界面认证缓存

您可以将Artifactory配置为针对外部系统(如REST API请求的LDAP)缓存有关身份验证的数据。这意味着用户第一次需要进行身份验证时,Artifactory将查询外部系统以获取用户的权限、组设置等。

从外部系统接收到的信息将缓存一段时间,您可以在美元ARTIFACTORY_HOME / etc / artifactory.system.properties文件的artifactory.security.authentication.cache.idleTimeSecs财产。

这意味着一旦用户通过身份验证,当身份验证数据被缓存时,Artifactory将使用缓存的数据,而不是查询外部系统,因此身份验证要快得多

默认设置为300秒。

仅支持REST API

缓存只与REST API请求相关,而与使用Artifactory UI无关。



避免使用明文密码

以明文形式存储LDAP密码settings.xml这是一个很大的安全威胁,因为这个密码非常敏感,并且在对域中其他资源的SSO中使用。2022世界杯阿根廷预选赛赛程
在使用LDAP时,我们强烈建议使用Artifactory的加密密码在您的本地设置中。


防止身份验证回退到本地人工领域

在某些情况下,作为管理员,您可能希望要求用户使用LDAP密码通过LDAP对自己进行身份验证。
但是,如果用户在Artifactory中已经拥有一个带有密码的内部帐户,那么在LDAP身份验证失败时,Artifactory可以回退到使用其内部密码。

可以通过确保禁用内部密码复选框中的编辑用户对话框设置。


使用LDAPS(安全LDAP)

要使用具有由Java信任的CA颁发的有效证书的LDAPS,您所需要做的就是在设置中使用安全的LDAP URL,例如:ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com

如果希望将LDAPS与不受信任的(自签名的)证书一起使用,请按照中描述的步骤操作使用自签名证书


观看视频



  • 没有标签