Во-первых, я не являюсь администратором AD на сайте, но мой менеджер попросил меня попытаться интегрировать мою личную установку Redmine с ActiveDirectory, чтобы протестировать ее для крупномасштабного развертывания.
Наш сервер AD находится на хосте: порт ims.example.com:389 и у меня есть пользователь IMS/me.
Прямо сейчас у меня тоже есть пользователь me в Redmine с использованием локальной аутентификации.
Я создал метод аутентификации LDAP ActiveDirectory в RedMine со следующими параметрами:
Host: ims.example.com
Port: 389
Base DN: cn=Users,dc=ims,dc=example,dc=com
On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail
Проверка этого соединения работает нормально.
Однако я не прошел успешную аутентификацию с его помощью.
Я создал резервного администратора, чтобы я мог вернуться в me аккаунт, если я что-то сломаю, а затем я попытался изменить me использовать учетные данные ActiveDirectory. Однако, как только я это сделаю, для входа в систему ничего не получится. Я испробовал все эти варианты имени входа:
meIMS/meIMS\meЯ использовал свой известный пароль домена, но без радости.
Итак, какие настройки у меня неправильные, или какую информацию мне нужно получить, чтобы это работало?
Хорошо, вот конкретные настройки, которые мне понадобились для работы:
Host: ims.example.com
Port: 389
User: MYDOMAIN\accountName
Password: *******
Base DN: dc=mydomain,dc=example,dc=com
On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail
Уловка заключалась в удалении cn=Users из базового DN, после чего все как бы сошлось.
Другим примечательным моментом было включение пользователя для чтения каталога.
Наконец, пользователь, который входит в систему, использует свое имя пользователя без указания домена и пароль домена, как обычно. Нашему домену не требуется адрес электронной почты, поэтому существует дополнительный шаг, на котором адрес электронной почты должен быть установлен во время создания пользователя, но это довольно просто.
Уловка для поиска базового DN для аутентификации ActiveDirectory LDAP состоит в том, чтобы проверить полное доменное имя пользователя. вы можете проверить это с помощью:
whoami /FQDN
если вы вошли в систему как этот пользователь, который возвращает что-то вроде
CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com
а базовый DN можно найти, удалив первый CN.
OU=users,OU=department,DC=corp,DC=domain,DC=com
Я не знаком с Redmine, но похоже, что вы пытаетесь выполнить анонимную привязку к Active Directory для проверки учетных данных. Это не сработает. Настроив несколько продуктов для интеграции LDAP с AD, это обычная проблема, с которой я сталкивался.
По умолчанию AD требует, чтобы клиенты аутентифицировались при привязке к каталогу для выполнения запросов.
Посмотри в этой публикации Redmine вики re: настройка аутентификации LDAP. Они говорят об указании учетной записи и пароля для использования Redmine (с правами на чтение каталога - подойдет обычный «Пользователь домена») для привязки к каталогу.
Используйте браузер ldap и визуально проверьте структуру ... luma на ubuntu работает хорошо, ldapper для mac тоже.
Если вы хотите пойти дальше и настроить систему единого входа, этот плагин очень полезен! https://www.redmine.org/plugins/single_auth
Этот пост (мой) может помочь: http://blog.techutils.space/2016/02/redmine-ad-sso-setup.html