我在本地安装了 Jira 5.x 以及带有用户和组的 OpenLDAP 服务器。 Jira 中的同步可以完美获取所有用户和组,但用户不属于任何组。我已设置默认组以允许 LDAP 用户登录 Jira。
我做错了什么?
这是 LDAP 架构:
dn: uid=demo.user@domain.com,ou=intern,ou=people,dc=company,dc=local
objectClass: posixAccount
objectClass: account
objectClass: ldapPublicKey
homeDirectory: /home/demouser
loginShell: /bin/bash
cn: Demo User
uidNumber: 10001
gidNumber: 10001
userPassword: {SSHA}xxxxxxxxxxx
uid: demo.user@domain.com
dn: cn=groupname,ou=project,ou=group,dc=company,dc=local
objectClass: posixGroup
description: a funny group for a project
gidNumber: 10018
cn: groupname
memberUid: demo.user@domain.com
memberUid: xyz
memberUid: ...
如果我在 Jira 中运行测试,我会收到以下错误消息:
Test get user's memberships with 0 groups retrieved. : Failed
这些是 Jira 中的设置:
最佳答案
我们也遇到过类似的问题。似乎 JIRA 坚持包含用户成员属性(来自用户模式),例如“memberOf”,无论您是否已经拥有组成员属性。然而,它应该是一个/或 选项 - 组成员属性(例如组模式中的memberUid)或用户成员属性(例如用户模式中的memberOf),因为它们或多或少实现相同的功能。
当我们注意到目录类型实际上有两个密切相关的选项时,问题就解决了:“OpenLDAP”和“OpenLDAP(只读 Posix 架构)”。由于我们使用 posixGroup 架构(如您的示例中所示),因此选择只读 Posix 架构解决了该问题。如果您转到顶部的“服务器设置”部分,您应该会在下拉列表中看到这两个选项。
此外,您应该能够在 LDAP 权限部分中从“只读,包含本地组”切换到“只读”(如果您愿意)。需要注意的是,我们将 inetOrgPerson 和 ShadowAccount 架构(而不是您的示例中的 account)与 posixAccount 结合使用作为用户架构。
关于LDAP 用户不会自动放入 jira 中的 LDAP 组中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14707019/