我无法在针对FreeIPA的Artifactory中使用LDAP配置,并且在测试时我得到了奇怪的结果。这个设置有效吗?
以下是Artifactory中的设置: Artifactor Settings
FreeIPA上的访问日志部分显示了auth测试:
[20/Sep/2016:09:55:30 -0700] conn=2046 fd=171 slot=171 connection from x.x.x.x to x.x.x.x
[20/Sep/2016:09:55:30 -0700] conn=2046 op=0 BIND dn="cn=users,cn=accounts" method=128 version=3
[20/Sep/2016:09:55:30 -0700] conn=2046 op=0 RESULT err=32 tag=97 nentries=0 etime=0
[20/Sep/2016:09:55:30 -0700] conn=2046 op=-1 fd=171 closed - B1
[20/Sep/2016:09:55:30 -0700] conn=2045 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=ldap_user)” attrs=ALL
[20/Sep/2016:09:55:30 -0700] conn=2045 op=1 RESULT err=0 tag=101 nentries=1 etime=0
我觉得奇怪的是它正在尝试使用用户DN模式而不是管理员DN进行绑定。因此,初始绑定失败,但根据日志找到用于测试连接的ldap用户“err = 0 tag = 101 nentries = 1”,但Artifactory无法对用户进行身份验证。
有时,当我更改Manager DN字符串时,Artifactory会说测试用户已成功通过身份验证,但随后所有其他测试将使用同一用户失败。
非常感谢任何帮助!
答案 0 :(得分:0)
当您在LDAP方面看到'[something] DN'时,这是关于完整的可分辨名称,而不仅仅是相对可分辨名称组件的值。
根据https://www.jfrog.com/confluence/display/RTF/Managing+Security+with+LDAP,“用户DN模式”应包含用户的rdn和模板参数,例如: 'uid={0},cn=users,cn=accounts'。但是,查看您的日志,似乎必须是完整的DN:'uid={0},cn=users,cn=accounts,dc=example,dc=com'
经理DN应该是完整的DN,例如'uid=manager,cn=users,cn=accounts,dc=example,dc=com'。