Аутентификация LDAP от Artifactory

Question

Некоторое время я пытался пройти аутентификацию на «сервере LDAP», реализованном Apache DS, из интерфейса Artifactory LDAP.

Я использую Artifactory 6.1.0, перспективу Apache DS и LDAP для Eclipse Oxygen.

В DIT (информационном дереве каталога), как вы видите, есть два пользователя (admin и user1) в подразделении, называемом системой:

1-Когда я аутентифицируюсь по «шаблону DN пользователя» (uid = admin, ou = system) и проверяю подключение к серверу, тестовый пользователь должен быть таким же, как указанный пользователь в «шаблоне DN пользователя» ", если я попробую с другим пользователем (например, user1), соединение с сервером будет установлено, но аутентификация не пройдена.

Часть 1:

Часть 2:

Сообщение об ошибке Artifactory cmd:

=> Тестовый пользователь должен быть таким же, как указано в «шаблоне DN пользователя»

2-Если я использую поле «DN менеджера» и ввожу пароль, даже если я использую того же пользователя, указанного в «DN менеджера», как тестовый пользователь, аутентификация завершается неудачно.

Part1:

Part2:

=> Даже если тестовый пользователь тот же, он не может аутентифицироваться.

Большая путаница: какой метод я должен использовать для установления соединения с сервером LDAP? Есть ли разница между подключением через шаблон DN пользователя и DN менеджера? Какие поля (Search Filter, Search Base ...) не должны оставаться пустыми для каждого метода? А что делать для аутентификации у другого тестового пользователя?

В руководстве, предоставляемом Jfrog, аутентификация с использованием «метода DN менеджера» с другим тестовым пользователем, уже созданным в DIT, работает нормально. => Учебник: https://www.youtube.com/watch?v=_nT76RgXA2c

Наконец, я хочу спросить, для создания групп LDAP мне нужна профессиональная версия Artifactory, потому что она отключена в версии oss? Могу ли я получить этот модуль бесплатно?!

Мне нужно четкое объяснение, пожалуйста, спасибо.

Answer 1

Существует два «метода» аутентификации, которые вы можете выбрать, или вы можете настроить оба:

• Аутентификация на основе поиска требует, чтобы вы заполнили Search Filter и Manager DN/Password и, при необходимости, Search Base. Artifactory подключится к LDAP с использованием пользователя Manager DN и выполнит поиск для Search Filter. Сервер LDAP находит соответствующий DN пользователя (отличительное имя, в основном уникальный идентификатор пользователя) и отправляет его обратно в Artifactory. Затем Artifactory входит в систему, используя DN этого пользователя.

• «Прямая» аутентификация требует, чтобы вы заполнили только поле User DN Pattern. Этот метод пропускает шаг поиска пользователя и просто входит в систему с любым DN в поле User DN Pattern.

---

Оба поля User DN Pattern и Search Filter являются узорами . В частности, если эти поля содержат «{0}», это заменяется именем пользователя, пытающегося аутентифицироваться.

Причина, по которой ваш User DN Pattern разрешил вам входить только с пользователем admin, заключается в том, что он был жестко закодирован и всегда аутентифицировался как admin независимо от того, какой пользователь на самом деле пытался войти в систему. Вместо uid=admin,ou=system, значение должно быть uid={0},ou=system.

Причина, по которой ваш Manager DN не удался, возможно, в том, что ваш Search Filter неправильный. Его значение sAMAccountName={0}, но я не вижу ни одного свойства с именем sAMAccountName в вашей конфигурации LDAP. Вместо этого попробуйте установить Search Filter на uid={0} (или, альтернативно, добавить поле sAMAccountName каждому из ваших пользователей в LDAP). Я думаю, ваш Manager DN/Password и ваш Search Base в порядке, как они.

---

Наконец, я хочу спросить, для создания групп LDAP мне нужна профессиональная версия Artifactory, потому что она отключена в версии oss? Могу ли я получить этот модуль бесплатно?!

Синхронизация групп LDAP является функцией Pro и недоступна в OSS, поэтому для ее использования необходимо приобрести лицензию Pro. Вы не можете получить это бесплатно.