- Angelegt von //SEIBERT/MEDIA Employee, zuletzt geändert am Mär 09, 2018
Crowd bietet integrierte Konnektoren für die beliebtesten LDAP-Verzeichnis Server:
- Apache Directory Server (ApacheDS)
- Apple Open Directory
- Fedora Directory Server
- Generic LDAP Directories
- Microsoft Active Directory
- Novell eDirectory
- OpenDS
- OpenLDAP
- OpenLDAP mit dem Posix-Schema
- Posix-Schema für LDAP
- Sun Directory Server Enterprise Edition (DSEE)
Bevor Sie mit der Konfiguration des Verzeichnisses beginnen, überprüfen Sie jegliche Verzeichnis-spezifische Hinweise, die sich auf die Verzeichnisart, die Sie verwenden, auswirken könnten.
Einen LDAP-Verzeichnis Konnektor konfigurieren
- Loggen Sie sich in Crowds Administrationskonsole ein.
- Klicken Sie oben in der Navigationsleiste auf den Link "Directories". Der Verzeichnis-Browser öffnet sich.
- Klicken Sie auf den Link "Add Directory". Der Seite "Select Directory Type" öffnet sich.
- Klicken Sie auf den Button "Connector". Das Fenster "Create Directory Connector" öffnet sich.
- Vervollständigen Sie die Konfiguration des Konnektors, indem Sie die erforderlichen Informationen in allen Tabs eingeben.
Allgemeine Konfigurationshinweise
- Standardmäßig ist in den Einstellungen des "Details" Tabs Cache Enabled ausgewählt. Wir empfehlen Ihnen diese Voreinstellung zu lassen. Für weitere Informationen dazu, lesen Sie bitte die Seite "Caching für ein LDAP-Verzeichnis konfigurieren".
- Wenn Sie im "Connector" Tab die Einstellung Manage Groups Locally auswählen (ist nur verfügbar, wenn Sie die Cache Enabled Checkbox ausgewählt haben), dann werden neue Gruppen in Crowds Datenbank erstellt und aktualisiert und nicht zum LDAP-Server weitergeleitet. Auch die Gruppenzugehörigkeiten von lokalen Gruppen werden lokal gespeichert. Dies ermöglicht es die Gruppenstruktur um neue Gruppen zu erweitern - selbst auf einem read-only LDAP-Server. Wenn diese Option aktiviert ist, können nur lokale Gruppen erstellt und aktualisiert werden, während die vom Remote-Verzeichnis synchronisierten Gruppen nicht lokal modifiziert werden können.
- Wenn Sie im "Connector" Tab die Einstellung Use the User Membership auswählen, dann wird Crowd das Gruppenzugehörigkeits-Attribut des Benutzers verwenden, wenn es die Mitglieder einer gegebenen Gruppe empfängt, was eine viel effizientere Variante darstellt.
- Wenn Sie im "Connector" Tab die Einstellung Use 'memberOf' for Group Membership auswählen, dann wird Crowd das Attribut "MemberOf" verwenden, wenn es die Liste von Gruppen abruft, zu denen ein Benutzer gehört, was eine viel effizienter ist. Wenn Sie diese Einstellung nicht auswählen, wird Crowd das Mitglied-Attribut der Gruppe (standardmäßig "member") für die Suche verwenden.
- Crowd wird Änderungen an Benutzernamen, die auf dem LDAP-Server getätigt wurden, synchronisieren, sofern das User Unique Identifier Attribut im "Configuration" Tab ausgewählt ist. Wenn dieses Attribut nicht gesetzt ist und ein Benutzer auf dem LDAP-Server umbenannt wird, dann wird Crowd nicht in der Lage sein die Identität des Benutzers auszumachen und wird deshalb den alten Namen löschen und einen neuen Benutzer mit dem neuen Namen erstellen. Crowd unterstützt nicht die Gruppen-Umbenennungen.
- Wenn der Verzeichnistyp, den Sie verwenden, das Format der DNs (Destinguished Name) gewährleistet, empfehlen wir Ihnen die Einstellung Use Naive DN Matching im "Connector" Tab auszuwählen, um Crowd einen direkten, nach Groß- und Kleinschreibung abhängigen Stringvergleich beim Vergleichen von DNs zu erlauben. Diese Einstellung kann die Performance signifikant verbessern.
- Definieren Sie den Username im "Connector" Tab nach folgendem Format: cn-administrator, cn=users, dc=ad, dc=acmecorp, dc=com.
- Wenn Sie das User Name RDN Attribut definieren, besteht der DN für jeden LDAP-Eintrag aus zwei Teilen: Dem RDN und dem Ort innerhalb des RDN-Verzeichnisses, in dem der Eintrag sich befindet. Der RDN ist der Teil Ihres DN, der nicht in Relation zur Verzeichnis-Baumstruktur steht.
- Standardmäßig ist die Option Synchronise group memberships when loggin in auf For newly added users only gesetzt. Dadurch werden Gruppenzugehörigkeiten der Benutzer synchronisiert, die im LDAP-Verzeichnis erstellt, aber noch nicht mit Crowd synchronisiert wurden. Das wird aus Komfortgründen empfohlen und dabei verlieren Sie nichts an Performance. Weitere Optionen sind die Gruppenzugehörigkeiten bei jedem Login eines Benutzers zu synchronisieren (wie in Crowd 2.7, 2.8 und 2.9) und die Gruppenzugehörigkeiten nie zu synchronisieren (wie in den Crowd-Versionen vor 2.7).
- Wenn Sie sich als ein Benutzer mit dem LDAP-Verzeichnis verbinden, der durch Abfragegrenzen beeinträchtigt wird (zum Beispiel bei der Verwendung eines DNs, der kein RootDN in OpenLDAP mit olcSizeLimit ist), dann können manche Operationen womöglich nicht alle Ergebnisse ausspielen. Momentan wird empfohlen sich als Benutzer einzuloggen, der nicht von Limitierungen beeinträchtigt wird.
- Wenn Sie Ihren Konnektor erfolgreich hinzugefügt haben, aber nicht in der Lage sind Daten zu sehen, wenn Sie das LDAP-Verzeichnis durchsuchen, dann stellen Sie sicher, dass alle nicht standardisierten Objekttypen und Filter korrekt konfiguriert sind.
Standardmäßig ist die Einstellung Active im "Details" Tab ausgewählt. Entfernen Sie diese Einstellung nur, wenn Sie nicht wollen, dass alle Benutzer innerhalb des Verzeichnisses auf die zugewiesenen Applikationen zugreifen.
Inaktive Verzeichnisse:
- werden von Crowd nicht bei der Suche nach Benutzern, Gruppen oder Gruppenzugehörigkeiten berücksichtigt.
- erscheinen weiterhin in der Crowd Administrationskonsole.
Sie können auch Seiten-weite LDAP-Verbindungspool Einstellungen konfigurieren. Lesen Sie dazu die Seite "Konfiguration des LDAP-Verbindungspools".
Verzeichnis-spezifische Konfigurationshinweise
Apache Directory Server (ApacheDS)
- Es gibt zwei bekannte Probleme mit ApacheDS und Crowd:
- ApacheDS 1.0.2 unterstützt nicht die Zurücksetzung des Passwort ohne einen Neustart. Das ist eine Einschränkung von ApacheDS.
- ApacheDS unterstützt nicht die Aufteilung der Ergebnisse auf Seiten. CWD-1109: Cannot browse users or groups if Use Paged Results is enabled. Auch das ist eine ApacheDS Einschränkung.
Apple Open Directory
- Crowds Apple Open Directory unterstützt nur den Lesezugriff. Sie können keine Benutzerinformationen oder Gruppeninformationen in einem mit Crowd verbundenen OS X Open Directory Server hinzufügen oder aktualisieren. Die Benutzer können ihre Passwörter weder in Crowd noch in mit Crowd verbundenen Applikationen ändern.
- Crowd überprüft die Attribute gidNumber und memberUid um zu ermitteln, ob ein Benutzer Mitglied einer Gruppe ist. Der Name des gidNumber Attributs ist nicht anpassbar - Crowd wird immer dieses Attribut zur Ermittlung der Gruppenzugehörigkeit verwenden.
- Das RFC 2307 Schema unterstützt nicht die verschachtelten Gruppen, deshalb unterstützt Crowd auch keine verschachtelten Gruppen im Apple Open Directory.
Fedora Directory Server
- Crowd unterstützt read-only Verbindungen zu Fedora DS mithilfe des Posix/NIS Schemas RFC 2307.
Sie können keine Benutzerinformationen oder Gruppeninformationen auf einem mit Crowd verbundenen Fedora Directory Server hinzufügen oder aktualisieren. Den Benutzern ist es nicht möglich ihre Passwörter in Crowd oder in mit Crowd verbundenen Applikationen zu ändern. - Crowd überprüft die Attribute gidNumber und memberUid um zu ermitteln, ob ein Benutzer Mitglied einer Gruppe ist. Der Name des gidNumber Attributs ist nicht anpassbar - Crowd wird immer dieses Attribut zur Ermittlung der Gruppenzugehörigkeit verwenden.
- Das RFC 2307 Schema unterstützt nicht die verschachtelten Gruppen, deshalb unterstützt Crowd auch keine verschachtelten Gruppen in Fedora DS.
Microsoft Active Directory
- Wenn Sie eine sichere SSL-Verbindung verwenden wollen, stellen Sie vor der Aktivierung dieser Einstellung sicher, dass Sie ein SSL-Zertifikat konfiguriert haben.
- Wir empfehlen Ihnen die Enable Incremental Sync Einstellung auszuwählen, um Crowd zu erlauben die Änderungen seit der letzten Synchronisierung abzurufen, wenn möglich.
- Definieren Sie das Base DN im folgenden Format: dc=domain1, dc=local. Ersetzen Sie dabei "domain1" und "local" mit den Werten für Ihre spezifische Konfiguration. Microsoft Server bietet ein Tool namens ldp.exe an, welches sehr nützlich für das Ausfindigmachen und Konfigurieren der LDAP-Struktur Ihres Servers ist.
- Wenn Sie mit Crowd dazu verwenden wollen Benutzer hinzuzufügen oder Passwörter in Microsoft Active Directory zu ändern, dann müssen Sie ein SSL-Zertifikat installieren, das von Ihrem Active Directory generiert wurde, und danach das Zertifikat in Ihrem JVM-Keystore installieren.
Eine Anleitung dazu finden Sie hier: Ein SSL-Zertifikat für MS Active Directory konfigurieren. - Crowd wird den Benutzerstatus mit Active Directory synchronisieren. Wenn ein Benutzer-Account in Active Directory deaktiviert ist, wird der Benutzer auch in Crowd deaktiviert und umgekehrt. Um diese Synchronisierung zu verhindern, verwenden Sie bitte die Funktion Manage User Status Locally im "Connector" Tab.
- Die primären Gruppen von Benutzern in Active Directory werden in Crowd als reguläre Gruppenzugehörigkeiten angezeigt. Dennoch können Sie in Crowds Benutzeroberfläche nicht die primäre Gruppe eines Benutzers ändern oder entfernen.
- Wenn Sie eine einzelne Active Directory Domäne verwenden, dann sollten Sie in der Verzeichniskonfiguration "Use node referrals" deaktivieren.
Wenn Sie eine Gesamtstruktur (auch als "Forest" bekannt) haben, sollten Sie den englischen Knowledge Base Artikel "User lookups fail with 'PartialResultExceptions' due to Active Directory 'follow referrals' configuration" lesen und sicherstellen, dass Ihr DNS-Server korrekt konfiguriert ist. - Die Crowd-Integration mit Active Directory Application Mode (ADAM) wurde von Atlassian nicht getestet. Allerdings haben ADAM und Active Directory die gleiche Codebasis, LDAP-Oberfläche und API. Deshalb sollte ADAM mit Crowd funktionieren, wenn dieselben Instruktionen (wie oben) bei der Integration befolgt werden. Gerne dürfen Sie Ihre Erfahrung mit Atlassian teilen, wenn Sie es ausprobieren.
Posix-Schema für LDAP oder OpenLDAP
- Aktuell unterstützt Crowd nur den Lesezugriff auf das Verzeichnis, das auf dem Posix-Schema basiert. Sie können keine Benutzerinformationen hinzufügen oder aktualisieren. Crowd unterstützt nur read-only Verbindungen zu LDAP-Verzeichnissen, die das Posix-/NIS-Schema verwenden. Dies ist nützlich, wenn Sie eine Unix-Installation haben und ein LDAP-Verzeichnis integrieren möchten. Das Posix-/NIS-Schema erlaubt die Integration zwischen einem LDAP-Verzeichnis und dem Unix NIS (Network Information Service).
- Crowd wird die Attribute gidNumber und memberUid überprüfen, um zu ermitteln ob ein Benutzer Mitglied einer Gruppe ist. Der Name des gidNumber Attributs ist nicht konfigurierbar - Crowd wird immer dieses Attribut für die Bestimmung der Gruppenzugehörigkeit verwenden.
- Das RFC 2307 Schema unterstützt nicht die verschachtelten Gruppen, also unterstützt Crowd auch keine verschachtelten Gruppen im Posix-Schema.
Crowd Doku
Diese Seite wurde zuletzt am 26.12.2024 geändert.