Redmine => Active Directory認証を設定するにはどうすればよいですか?

9

まず、私はオンサイトのAD管理者ではありませんが、私からの大規模なロールアウトのために自分のRedmineインストールをActiveDirectoryと統合して試してみるように依頼されました。

私たちのADサーバーはhost:portにims.example.com:389あり、私はユーザーを持っていますIMS/me

現在、meRedmineにはローカル認証を使用するユーザーもいます。

RedMineで次のパラメーターを使用してActiveDirectory LDAP認証方法を作成しました。

Host: ims.example.com
Port: 389
Base DN: cn=Users,dc=ims,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

この接続のテストは問題なく機能します。

しかし、私はそれで認証に成功していません。

問題が発生したme場合にアカウントに戻ることができるように、バックアップ管理者ユーザーを作成しme、ActiveDirectory資格情報を使用するように変更してみました。ただし、一度ログインすると何もログインできません。次のログイン名オプションをすべて試しました。

  • me
  • IMS/me
  • IMS\me

私は既知のドメインパスワードを使用しましたが、喜びはありません。

では、どの設定が間違っているのか、またはこれを機能させるためにどのような情報を取得する必要があるのでしょうか。

active-directory  authentication  ldap  ruby-on-rails  redmine 
クリスR
ソース

回答:

13

わかりましたので、これを機能させるために必要な特定の設定を次に示します。

Host: ims.example.com
Port: 389
User: MYDOMAIN\accountName
Password: *******
Base DN: dc=mydomain,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

トリックはcn=Users、ベースDNから削除することでした。

もう1つの注目すべき点は、ディレクトリを読み取るためのユーザーが含まれていたことです。

最後に、ログインするユーザーは、ドメイン修飾なしのユーザー名とドメインパスワードを通常どおり使用します。私たちのドメインはメールアドレスを必要としないので、ユーザーの作成中にメールアドレスを設定する必要がある追加のステップがありますが、それは非常に簡単です。

クリスR
ソース
ああ...ユーザーアカウントが "CN = Users、..."のデフォルトコンテナーの下にあるかどうかを尋ねることさえ考えていませんでした。
エヴァン・アンダーソン、
私がそれをどのよう決定できたか知ることは、より有用でしょう。私は試行錯誤によってこのセットアップにたどり着きました。
Chris R、
特定のAD読み取りアカウントすら必要としない、Devise用の独自のAD認証プラグインを手動で展開したので、これも主に試行錯誤でした。ログインし、ユーザー名/パスワードを使用してADにバインドおよび認証します。これは非常に役に立ちました、Chris、ありがとう。
Ben Kreeger、
説明の1つ(午後全体がかかった):アカウントは、ログイン名ではなく、識別名としてフォーマットする必要があります。
coz
私にとっては、MYDOMAIN部分など、ドメインをクエリユーザーアカウントに追加するという修正がありました。
アンディアリスメンディ2013
6

ActiveDirectory LDAP認証のベースDNを見つけるコツは、ユーザーの完全修飾ドメイン名が何であるかを確認することです。あなたはそれをチェックすることができます:

whoami /FQDN

そのユーザーとしてログインしている場合、次のようなものが返されます

CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com

また、ベースDNは、最初のCNを削除することで見つけることができます。

OU=users,OU=department,DC=corp,DC=domain,DC=com
レムコ・シューマン
ソース
これをありがとう。私はこのコマンドに気付かず、とても役に立ちました。
jasonmmiraglia 2015
4

Redmineについてはよく知りませんが、資格情報を検証するためにActive Directoryに匿名でバインドしようとしているようです。それはうまくいきません。ADとのLDAP統合のために複数の製品を構成したので、これは私が見た一般的な問題です。

そのままの状態でADは、クエリを実行するためにディレクトリにバインドするときにクライアントが認証することを要求します。

このRedmine wiki投稿 re:設定LDAP認証をご覧ください。彼らは、Redmineがディレクトリにバインドするために使用するアカウントとパスワード(ディレクトリを読み取る権限を持つもの-プレーンな「ドメインユーザー」が行う)を指定することについて話している。

エヴァン・アンダーソン
ソース
ユーザー名はどのような形式で入力すればよいですか?彼らはwikiの投稿(とにかくこのプロセスの出発点)でそれを実際に説明していません
Chris R
具体的には、試してみましIMS\meたがうまくいかなかったようです。それが失敗している理由の詳細も取得できません。
Chris R、
バインドユーザー名をDOMAIN \ samAccountName構文で指定します。それが失敗している理由を理解する限り、スニファー(tcpdump、wireshark、組み込みのMicrosoft "Network Monitor"など)を入手して、問題に対処することをお勧めします。ワイヤーで何が話されているかを理解するために、ワイヤーで何が話されているかを確認するよりも早く方法はありません。(ばかげているように聞こえますが、多くの人はそこを見るとは思わないでしょう...)次に、少なくとも、指定したパラメーターが期待どおりに渡されているかどうかを確認できます。
エヴァンアンダーソン、
Wiresharkはここで天の恵みであることが判明しています。そのヒントをありがとう。私はそれについていくつかの問題を見つけました、そして私は通り抜けて詳細をすぐに投稿します。
Chris R、
ボックスがお互いに言っていることを見ると、多くの問題の原因が即座に明らかになります。うまくいきました。
エヴァン・アンダーソン、
3

LDAPブラウザーを使用して、構造を視覚的に確認します。ubuntuのlumaは適切に機能し、macperのldapperも機能します。

LDAPサーバーでは実際には機能しませんでしたが、それがどのように役立つかを確認できます。
Chris R
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.