我正在尝试使用 GitLab 设置 LDAP 身份验证(在 VM 上的 Ubuntu 14.04 amd64 上安装了 7.12.2 版本,Omnibus 设置)。我已将 gitlab.rb 文件编辑为如下所示:
gitlab_rails['ldap_enabled'] = true
gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' # remember to close this block with 'EOS' below
main: # 'main' is the GitLab 'provider ID' of this LDAP server
label: 'LDAP'
host: '********'
port: 389
uid: 'sAMAccountName'
method: 'plain' # "tls" or "ssl" or "plain"
bind_dn: 'CN=********,OU=********,OU=********,DC=********,DC=***'
password: '********'
active_directory: true
allow_username_or_email_login: false
block_auto_created_users: false
base: 'DC=********,DC=***'
user_filter: ''
EOS
这会导致可怕的“无法从 Ldapmain 授权您,因为“凭据无效”。我尝试过,对于用户名(在 bind_dn 变量中):”[电子邮件保护]“(基于用户名的电子邮件)、“John Smith”(全名)和“johnsmith”(用户名)。结果总是一样的。我的密码里有一个@符号。我不确定是否需要转义它,或者如何转义。
日志显示:
Started POST "/users/auth/ldapmain/callback" for 127.0.0.1 at 2015-07-22 17:15:01 -0400
Processing by OmniauthCallbacksController#failure as HTML
Parameters: {"utf8"=>"✓", "authenticity_token"=>"[FILTERED]", "username"=>"********", "password"=>"[FILTERED]"}
Redirected to http://192.168.56.102/users/sign_in
Completed 302 Found in 14ms (ActiveRecord: 3.6ms)
Started GET "/users/sign_in" for 127.0.0.1 at 2015-07-22 17:15:01 -0400
Processing by SessionsController#new as HTML
Completed 200 OK in 20ms (Views: 8.3ms | ActiveRecord: 2.9ms)
并gitlab-rake gitlab:ldap:check
显示如下内容:
Checking LDAP ...
LDAP users with access to your GitLab server (only showing the first 100 results)
Server: ldapmain
Checking LDAP ... Finished
但是,当我从 Ubuntu VM(因此相同的环境)使用 ldapsearch 时,我确实得到了一堆结果:
ldapsearch -x -h ******** -D "********@********.***" -W -b "OU=********,OU=********,DC=********,DC=***" -s sub "(cn=*)" cn mail sn dn
奇怪的是,结果中的 DN 如下所示:
dn: CN=John Smith,OU=********,OU=********,OU=********,DC=********,DC=***
也就是说,其中有一个额外的 OU。我还看到 ldapsearch 命令有-s sub
,我认为这意味着搜索子组。我对 LDAP 或 Active Directory 的来龙去脉不是很熟悉。
所以我相信我的基础中缺少了一些东西,但我不确定是什么。这也可能是用户过滤器的问题。我已经进行了必要的谷歌搜索,这使我走到了这一步,但现在我已经没有想法和解决方案了。
答案1
经过多次尝试,我终于解决了这个问题。以下是几点说明:
- 确保除第一行之外的所有行都有一个空格缩进。第一行是“main:”行,它没有任何缩进。
- bind_dn 不是绑定用户的完整 LDAP 路径,而只是用户名。在我的例子中,它是“[电子邮件保护]“。
- 基础需要是包含所有用户的 Active Directory 组或 DN 或任何名称。
这是最终的 YAML:
main: # 'main' is the GitLab 'provider ID' of this LDAP server
label: 'Active Directory'
host: 'ad-server.example.com'
port: 389
uid: 'sAMAccountName'
method: 'plain' # "tls" or "ssl" or "plain"
bind_dn: '[email protected]'
password: 'password'
active_directory: true
allow_username_or_email_login: false
block_auto_created_users: false
base: 'OU=ABC,OU=XYZ,DC=example,DC=com'
user_filter: ''