Geltungsbereich
Diese Seite beschreibt die Problembehebung der Konfigurationen der LDAP-Benutzerverwaltung und die Einrichtung in Jira Software. Beachten Sie auch die anderen spezifischen Dokumente:
| Seite | Beschreibung |
|---|---|
| Problembehebung der Benutzerverwaltung bei Upgrades (auf Englisch) | Beschreibt Probleme der Benutzerverwaltung, die beim Upgrade auf Jira 4.3.x oder neuer auftreten. |
| Anbindung an ein LDAP-Verzeichnis (auf Englisch) | Atlassians primäre Dokumentation über die LDAP-Verzeichnis Konfiguration. |
Über Apache Directory Studio
Apache Directory Studio ist ein Open Source Projekt der Apache Software Stiftung. Es beinhaltet einen LDAP-Browser/-Editor, einen Schema-Browser, einen LDIF-Editor, einen DSML-Editor und mehr. Es ist ein höchst nützliches Tool zum Beheben von Integrationsproblemen mit Jira Software und Confluence. Es ist eine Eclipse RCP-Anwendung, die plattformübergreifend ist oder innerhalb von Eclipse selbst als Plugin läuft. Für weitere Informationen über Eclipse lesen Sie bitte den Wikipedia-Artikel über Eclipse Software.
Wir empfehlen dessen Benutzung für das Testen, um herauszufinden wo das Problem bei einer Integration liegt. Es ermöglicht Ihnen zu testen, ob eine andere Anwendung als Jira Software oder Confluence sich mit dem LDAP/AD Server verbinden kann. Wenn eine erfolgreiche Verbindung nicht hergestellt werden kann, kann dies ein Hinweis auf Probleme auf der Seite des Verzeichnisses sein. Wenn es sich verbinden kann, kann dies auf Probleme in der Konfiguration von Jira Software oder Confluence hindeuten.
Installation und Einrichtung
Es ist empfehlenswert Directory Studio auf einem anderen Computer zu installieren, anstatt auf dem Server, der den LDAP/AD Server hostet (eine lokale Workstation ist üblicherweise am besten). Directory Studio ist in der Lage mithilfe des LDAP-Protokolls eine Verbindung zum Verzeichnis herzustellen und mit seinem integrierten Browser die Inhalte des Verzeichnisses anzuzeigen. Wie Sie die Verbindung herstellen, entnehmen Sie bitte dem Abschnitt "Create connection" der Directory Studio Benutzeranleitung.
Wenn Directory Studio nicht in der Lage ist eine Verbindung zu initiieren, dann kann das darauf hindeuten, dass es ein Problem bei der LDAP/AD Server Verbindung gibt. Sehen Sie sich in diesem Fall den Abschnitt unten zur Fehlerbehebung an.
Das Verzeichnis durchsuchen
Mit der Browser-Funktionalität in Directory Studio können Sie durch den Verzeichnisbaum navigieren, um zu sehen wo die Benutzer und Gruppen abgespeichert sind. Es erlaubt Ihnen auch herauszufinden wie die Daten im Verzeichnis gespeichert sind, inklusive der Namen der Attribute und deren spezifischen Werten.
Das ist ein Vergleich zwischen Active Directory und Apache Directory Studio.
Das ist Active Directory:
Und das ist wie es in Directory Studio aussehen würde:
Wie im obigen Beispiel ersichtlich, ist Directory Studio sehr nützlich für das Identifizieren der Attribute, die beim Einstellen der Schema- und Benutzerschema-Einstellungen verwendet werden (wie auf der Seite über die Verbindung an ein LDAP-Verzeichnis beschrieben wird), weil die Namen und Werte der Attribute in einem klaren und lesbaren Format dargestellt werden.
Verzeichnis-Attribute
In LDAP wird in einem Schema (DIT) definiert, wie die Daten abgespeichert werden. Diese sind wie eine Datenbank - ein Attribut hält einen Wert, so wie ein Feld in einer Tabelle.
Go to DN
Go to DN ist eine Suchoption, mit der Sie leicht ein LDAP-Element finden. Die Option ist über das Kontextmenü im LDAP-Browser (per Rechtsklick) erreichbar. Sie ist nützlich, um schnell Distinguished Names zu finden, die zu Konfigurationseinstellungen gehören, wie der Base DN, der zusätzliche User oder Group DN.
Problembehandlung
Überprüfen Sie vor der Problembehandlung die folgenden Zugangsdaten des LDAP/AD Servers zusammen mit Ihrem Systemadministrator. Wenn sie nicht korrekt sind, werden Sie nicht in der Lage sein sich erfolgreich mit dem LDAP/AD Servers zu verbinden.
- Server Hostname (oder IP).
- Server Port.
- Bind Username (DN).
- Bind Passwort.
Eine erfolgreiche Verbindung erfordert diese beiden Schritte:
- Server Konnektivität: Die Anwendung ist in der Lage mit dem LDAP/AD Server zu kommunizieren.
- Benutzt den Hostnamen und Port.
- LDAP/AD Bind: Die Anwendung kann sich im Verzeichnis einloggen.
- Benutzt den Bind Username und das Bind Passwort.
Active Directory DNs identifizieren
Wenn Sie Active Directory benutzen, können Sie den "dsquery" Befehl in der Befehlszeilen-Eingabe ausführen, um DNs in bestimmten Objekten zu identifizieren, wie in diesem Artikel über den Dsquery Windows Server beschrieben wird. Bitte lesen Sie für weitere Informationen dazu die unten stehenden Beispiele.
Die LDAP/AD Server Konnektivität testen
Wenn eines der unten stehenden Tests fehlschlägt, deutet das darauf hin, dass es ein Problem mit dem LDAP/AD Server gibt oder der Port bzw. die IP falsch ist. Die Lösung dieser Probleme liegt außerhalb des Geltungsbereiches dieses Dokuments.
Das Testen der LDAP/AD Verbindung wird über Directory Studio vorgenommen.
Windows
Linux
Häufige LDAP-Fehlermeldungen
Dies ist eine Liste der Fehlermeldungen, die von Directory Studio und Embedded Crowd zurückgegeben wurden und bei der Identifizierung von Konfigurationsproblemen mit dem LDAP/AD Server helfen können.
| Fehlermeldung | Möglicher Grund |
|---|---|
| simple bind failed: ldap-host:389 | Dies ist eine sehr allgemeine Fehlermeldung und bedeutet, dass bei dem Versuch an LDAP/AD anzubinden etwas schief ging. Prüfen Sie ob der LDAP/AD Server Name und/oder die Portnummer, die Sie definiert haben, nicht korrekt sind oder ob ein falscher DN als Administrator Username angegeben wurde. Es könnte auch bedeuten, dass die Verschlüsselungsmethode im Netzwerkparameter-Tab der Konnektor-Einstellungen in Directory Studio falsch spezifiziert wurde. |
Connection refused (ldap-host:389) No connection | Die Portnummer, die für den LDAP/AD Server definiert wurde, ist falsch oder eine Firewall bzw. eine Netzwerkkonfiguration blockiert die Verbindung. |
Unknown Host: ldap-host No connection | Der LDAP/AD Server Name bzw. die IP ist falsch. |
| Ungültige Suchfilter wurden an den LDAP/AD Server weitergegeben oder der Filter ist falsch gebildet (z. B. fehlt eine öffnende oder schließende Klammer). Bitte lesen Sie den Artikel über die LDAP Abfrage Basics für weitere Informationen über die LDAP/AD Abfragen. |
| LDAP: error code 3 | Die Anwendung ist beim Warten auf eine Antwort von LDAP abgelaufen. Überprüfen Sie, dass die LDAP-Filter korrekt sind und die LDAP-Engine korrekt arbeitet. Der Standard-Timeout kann in der Konfiguration vergrößert werden. |
| LDAP: error code 4 | Der Active Directory/LDAP Server, mit dem sich Jira Software synchronisiert, hat eine Einschränkung in der Anzahl der Objekte, die er bei einer Abfrage zurückgeben kann. |
| LDAP: error code 34 | Der DN ist höchstwahrscheinlich falsch - bestätigen Sie dies indem Sie ihn in Directory Studio überprüfen oder mit "dsquery", wenn Sie Active Directory benutzen. |
| LDAP: error code 48 | Die Authentifizierungsmethode im Authentifizierungstab der Konnektor-Einstellungen ist falsch. |
| LDAP: error code 32 | LDAP_NO_SUCH_OBJECT - Weist darauf hin, dass das Zielobjekt nicht gefunden werden kann. Dieser Code wird nicht bei den folgenden Aktionen zurückgegeben: bei Suchen, die die Suchbasis finden, aber keine Einträge, die zum Suchfilter passen und bei Anbindungen. |
| LDAP: error code 49 | Der Bind Username (DN) oder das Passwort ist falsch. Dies könnte auch durch folgendes verursacht worden sein:
Ein DN beschreibt den Pfad zum Objekt in der Datenbank, also könnte der CN korrekt sein, obwohl die OUs und DCs in der DN möglicherweise falsch oder in der falschen Reihenfolge sind. |
| NoSuchAttributeException | Kann durch die Angabe eines Attributnamens verursacht werden, der falsch ist oder nicht existiert. |
| InvalidNameException | Kann von einem falschen Präfix verursacht werden, der im Einstellungstab der meisten LDAP/AD Systeme definiert wurde. Das bedeutet, dass Sie überhaupt keinen Präfix definiert haben, was wiederum bedeutet, dass der LDAP/AD Server keinen vollständigen DN von CPS erhielt oder dass Sie einen falschen Präfix festgelegt haben, wie CN anstelle von UID, wodurch der LDAP/AD Server keine korrekte DN von CPS erhält. Dieser Fehler kann auch aufgrund eines fehlenden Kommas am Anfang des Suffix oder einem Komma zu viel am Ende des Suffix verursacht werden. Dieser Fehler könnte auch bedeuten, dass der Authentifizierungstyp falsch ist. |
| AuthenticationException | Konnte den Benutzer nicht authentifizieren, der versucht hat sich einzuloggen. Je nach LDAP/AD System kann ein falscher Benutzername, ein falsches Passwort, ein falsches Präfix und/oder Suffix, der im Einstellungstab definiert wurde, der Grund dafür sein. Auch der Authentifizierungstyp könnte inkorrekt sein. |
Allgemeine Konfigurationsprobleme
| Problem | Möglicher Grund | Mögliche Lösung |
|---|---|---|
| Die Schema-Einstellungen könnten falsch sein, weswegen Jira Software nicht benötigte oder falsche Daten aus dem LDAP/AD Server importiert. | Stellen Sie im Directory Studio (die Verwendung von "Go to DN" wird empfohlen) sicher, dass die folgenden Einstellungen in den Schema-Einstellungen in Jira Software korrekt sind:
|
| Benutzerdetails (z. B.: Benutzername, E-Mail, voller Name, Passwort) sind nach einer erfolgreichen Synchronisierung nicht korrekt. | Die Benutzer Schema-Einstellungen könnten falsch sein oder die Werte in den Attributen könnten inkorrekt sein.
| Stellen Sie im Directory Studio (die Verwendung von "Go to DN" wird empfohlen) sicher, dass die folgenden Attribute in den Benutzer Schema-Einstellungen in Jira Software korrekt sind:
|
| Benutzer und Gruppen werden importiert, aber die Benutzer werden nicht automatisch zu den Gruppen hinzugefügt, zu denen sie gehören. | Die Zugehörigkeits-Schema-Einstellungen könnten inkorrekt sein.
| Stellen Sie in Directory Studio (prüfen Sie das mit einem Test-Benutzer) sicher, dass die folgenden Attribute in den Zugehörigkeits-Schema-Einstellungen in Jira Software korrekt sind:
|
| Die Benutzer können nicht hinzugefügt/gelöscht oder es können keine Änderungen an dessen Gruppen und Projektrollen vorgenommen werden. | Das LDAP/AD Benutzerverzeichnis ist auf "read only" festgelegt. | Verifizieren Sie, dass die Berechtigungseinstellungen für das externe Benutzerverzeichnis richtig sind. Wenn Sie Änderungen vornehmen möchten, muss "read/write" aktiviert sein. Wenn Sie Active Directory benutzen, lesen Sie bitte diese Seite über die Konfiguration eines SSL-Zertifikats. |
Zusätzliche Informationen bereitstellen
Wenn die obigen Schritte das Problem nicht lösen und besonders in komplizierten Szenarios, benötigt Atlassian weitere Informationen, um weitere Recherchen anstellen zu können.
Einen LDIF-Export eines Benutzers oder einer Gruppe generieren
Gelegentlich fragt der Atlassian Crowd Support einen LDIF-Export eines Benutzers oder einer Gruppe an. LDIF ist das LDAP-Daten Austauschformat. Sie können Ihr ganzes LDAP-Verzeichnis oder nur einen Teil davon als LDIF-Datei exportieren. Diese Seite zeigt Ihnen wie Sie das tun, wenn Sie Apache Directory Studio verwenden.
Der LDAP-Browser Apache Directory Studio könnte den darunterliegenden Wert-Daten automatisch konvertieren, wodurch der echte Wert maskiert werden könnte. Ein LDIF zeigt den aktuellen Wert an, der benutzt wird.
So generieren Sie einen LDIF-Export eines Benutzers oder einer Gruppe:
- Markieren Sie den Benutzer oder die Gruppe in Apache Directory Studio.
- Klicken Sie mit der rechten Maustaste auf den Benutzer oder die Gruppe.
- Wählen Sie Export → LDIF Export aus.
Screenshot: Einen LDIF-Export eines Benutzers in Apache Directory Studio generieren.
Crowd Dokumentation Übersicht: