JFrog

    云客户?
    免费开始>
    在MyJFrog >中升级
    云有什么新>






    跳到元数据的末尾
    进入元数据的开始

    简介

    JPD (JFrog Platform Deployment)支持与Active Directory服务器集成,实现用户认证和组同步。

    当配置并激活了使用Active Directory的身份验证时,JPD首先尝试根据Active Directory服务器验证用户。如果身份验证失败,JPD将尝试通过其内部数据库进行身份验证。

    对于Active Directory服务器中配置的每个外部身份验证用户,JPD在内部数据库中创建一个新用户(假设该用户还不存在),并自动将该用户分配给默认组。

    在Artifactory 7.38中实现的web更改。X及以上

    安全性现在称为身份验证提供程序。本页上的所有相关文本和图像都已更新以反映这一变化。

    页面内容


    使用Active Directory

    在Artifactory 7.38中实现的web更改。X及以上

    安全性现在称为身份验证提供程序。本页上的所有相关文本和图像都已更新以反映这一变化。

    我们将通过一个示例描述如何配置JPD以使用Active Directory。

    考虑一个Active Directory服务器必须支持以下条件:

    • 用户位于两个地理上分离的站点。一些人在美国(指定为“我们”),而另一些人在以色列(指定为“il”)。
    • 每个站点在Active Directory树的不同位置定义用户和组,如下所示。

    Active Directory结构

    配置Active Directory认证,请在管理模块,转到认证提供者| LDAP并点击

    配置参数如下:

    设置名称
    		 Active Directory设置的唯一ID。
    启用

    设置后,将启用这些设置。
    LDAP URL

    Active Directory服务器LDAP接入点的位置,格式如下:ldap: / / myserver: myport / dc = sampledomain, dc = com

    URL可以包括用于搜索和/或验证用户的基本DN。如果未指定,则搜索基地字段为必填项。
    自动创建系统用户
    		 设置后,JPD将自动为已经使用Active Directory登录的用户创建新用户。任何新创建的用户都将关联到默认组。
    允许创建的用户访问配置文件页面
    		 设置后,自动创建的用户将可以访问他们的个人资料页面,并执行诸如生成API密钥等操作。
    用户DN模式

    一种DN模式,用于将用户直接记录到LDAP数据库中。

    在职董事y,我们建议保留此字段为空只有在允许匿名绑定且可以使用直连用户DN的情况下才有效,而Active Directory不默认这种情况。
    电子邮件属性

    可用于将用户的电子邮件映射到JPD自动创建的用户的属性。

    这对应于邮件字段。
    搜索过滤器

    用于搜索Active Directory身份验证中使用的用户DN的筛选器表达式。
    这是一个带有可选参数的LDAP搜索过滤器(在'RFC 2254'中定义)。在这种情况下,用户名唯一的参数是“{0}”

    对于Active Directory,对应的字段应该是sAMAccountName = {0}
    搜索基地

    相对于Active Directory URL中的基准DN,要在其中搜索的上下文名称。此参数是可选的,但如果可能的话,我们强烈建议您将其设置为防止在Active Directory树上进行长时间搜索。将此字段留空将大大减慢活动目录集成的速度。

    以下示例中的配置表明,搜索应该只在“frogs/il”或“frogs/us”下执行。这提高了搜索性能,因为JPD不会搜索“蛙”条目范围之外的内容。
    经理DN

    具有查询Active Directory服务器权限的用户的全DN。在使用LDAP组时,用户应该对任何额外的组属性具有权限,例如memberOf。
    密码管理器

    使用“search”认证时绑定Active Directory服务器的用户密码。
    搜索子树
    		 设置时,启用通过Active Directory URL + search Base的子树进行深度搜索。默认为True。

    导入Active Directory组

    导入Active Directory组可以使用静态映射策略或动态一个(Active Directory两者都适用)。

    唯一的区别是在相应的Active Directory条目上定义的属性:

    • 对象上定义了一个“成员”多值属性集团包含组成员的用户dn的条目
    • “Dynamic”配置定义了一个“memberOf”多值属性上的用户的组dn用户所属的组。

    Active Directory支持这两种配置,因此您可以选择适合您组织结构的配置。

    支持嵌套组

    JFrog平台支持与活动目录“嵌套组”同步。

    从Artifactory7.3、改进支持Active Directory“嵌套组”搜索,在使用LDAP时提供性能改进。

    先决条件

    该特性要求Active Directory在Windows Server 2012 R2或更高版本上运行。Active Directory Windows Server端没有附加要求。

    启用该特性。

    • 使用组设置定义设置动态策略
    • 设置msds-memberOfTransitive成员属性的值。

    映射策略:动态
    组成员属性msds-memberOfTransitive
    组名称cn
    过滤器:(objectClass =组

    的一部分,微软为规则链匹配提供了唯一的OID搜索筛选器语法,因此当使用这个OID对Active Directory执行LDAP查询时,Active Directory将根据用户的主组成员关系返回所有组的列表。

    映射策略:静态
    组成员属性:成员:1.2.840.113556.1.4.1941:
    组名属性:cn
    过滤器:objectClass =组

    界面显示如下所示。

    使用安全活动目录

    要使用Java信任的CA的有效证书来使用安全活动目录,您所需要做的就是在您的设置中使用一个安全活动目录URL,例如:ldap: / / secure_ldap_host: 636 / dc = sampledomain, dc = com

    如果要将安全活动目录与非受信任(自签名)证书一起使用,请遵循中描述的步骤TLS证书管理

    经理DN

    要根据您的Active Directory服务器构造Manager DN字符串,请导航到具有管理员权限的用户(例如administrator(1)),然后按照从user到文件夹层次结构的相反顺序(2,3)构造Manager DN。

    例如,在这个简单的配置中,Manager DN应该是
    cn =管理员,cn =用户,dc = alljfrog, dc = org

    请注意,域(3)按相反的顺序被分割
    dc = alljfrog, dc = org
    经理DN
    版权所有©2023 JFrog Ltd。