首先,我不是现场的ADpipe理员,但是我的经理要求我尝试让我的个人Redmine安装与ActiveDirectory集成,以便对其进行大规模部署testing。
我们的AD服务器在主机:端口ims.example.com:389 ,我有一个用户IMS/me 。
现在,我也有一个使用本地身份validation的Redmine用户。
我在RedMine中使用以下参数创build了ActiveDirectory LDAP身份validation方法:
Host: ims.example.com Port: 389 Base DN: cn=Users,dc=ims,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail
testing这个连接工作得很好。
但是,我没有成功通过身份validation。
我已经创build了一个备份pipe理员用户,这样我可以返回到me帐户,如果我打破了事情,然后我试着改变me使用ActiveDirectory凭据。 但是,一旦我这样做,没有任何工作login。我已经尝试所有这些login名称选项:
me IMS/me IMS\me 我用我已知的域密码,但没有喜悦。
那么,我有什么设置错误,或者我需要获得哪些信息才能完成这项工作?
好的,下面是为了完成这项工作而需要的具体设置:
Host: ims.example.com Port: 389 User: MYDOMAIN\accountName Password: ******* Base DN: dc=mydomain,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail
诀窍是从Base DN中删除cn=Users ,然后将它们放在一起。
另一个值得注意的事情是包含一个用户阅读目录。
最后,login的用户使用他们的用户名,没有域名限制,像往常一样使用他们的域名密码。 我们的域名不需要电子邮件地址,因此在用户创build过程中需要额外设置一个电子邮件地址,但这非常简单。
findActiveDirectory LDAP身份validation的基本DN的技巧是检查用户完全限定的域名是什么。 你可以检查:
whoami /FQDN
如果您以该用户身份login,则返回类似的内容
CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com
并且可以通过删除第一个CN来find基本DN。
OU=users,OU=department,DC=corp,DC=domain,DC=com
我对Redmine并不熟悉,但是确实看起来您正在尝试对Active Directory进行匿名绑定来validation凭据。 这是行不通的。 configuration了多个产品以便与AD集成LDAP,这是我见过的一个常见问题。
开箱即用,AD要求客户端在绑定到目录时进行身份validation以执行查询。
看看这个Redmine维基发布 :configurationLDAP身份validation。 他们正在讨论为Redmine指定一个账户和密码来使用(一个有权读取目录的权限 – 一个普通的“域用户”可以)绑定到目录。
使用ldap浏览器,并直观地检查结构… Ubuntu上的luma效果很好,mac的ldapper也可以。
如果你想进一步设置SSO,这个插件是非常有用的! https://www.redmine.org/plugins/single_auth
这篇文章(我的)可能会帮助: http : //blog.techutils.space/2016/02/redmine-ad-sso-setup.html