SonarQube de l'Authentification LDAP semble à charger, mais ne permet pas de connexion par le biais d'utilisateur de domaine

J'ai essayé de configuration de SonarQube (v4.1) avec l'authentification LDAP plugin (v1.4) et je ne peux pas le faire authentifier mon d'utilisateur de domaine. Ma config est la configuration comme suit:

#########################
# LDAP configuration
#########################
# General Configuration
sonar.security.realm=LDAP
sonar.security.savePassword=true
sonar.security.updateUserAttributes=true
sonar.authenticator.downcase=true
sonar.authenticator.createUsers=true

ldap.authentication=simple
ldap.realm=mydomain.co.uk
ldap.bindDn=CN=USERNAME,OU=developers,DC=mydomain,DC=co,DC=uk
ldap.bindPassword=PASSWORD

# User Configuration
#ldap.user.baseDn=OU=developers,DC=mydomain,DC=co,DC=uk
ldap.user.request=(&(objectClass=user)(sAMAccountName={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

# Group Configuration
ldap.group.baseDn=CN=Domain Users,CN=Users,DC=adastra,DC=co,DC=uk
ldap.group.request=(&(objectClass=group)(member={dn}))

et le journal des sorties suivantes messges semblent dire que la connexion LDAP fonctionne bien:

2014.01.20 16:12:32 INFO  [org.sonar.INFO]  Security realm: LDAP
2014.01.20 16:12:32 INFO  [o.s.p.l.LdapSettingsManager]  Auto discovery mode
2014.01.20 16:12:32 INFO  [o.s.p.l.LdapSettingsManager]  Detected server: ldap://dc02.mydomain.co.uk:389
2014.01.20 16:12:32 INFO  [o.s.p.l.LdapSettingsManager]  User mapping: LdapUserMapping{baseDn=dc=mydomain,dc=co,dc=uk, request=(&(objectClass=user)(sAMAccountName={0})), realNameAttribute=cn, emailAttribute=mail}
2014.01.20 16:12:32 INFO  [o.s.p.l.LdapSettingsManager]  Group mapping: LdapGroupMapping{baseDn=CN=Domain Users,CN=Users,DC=mydomain,DC=co,DC=uk, idAttribute=cn, requiredUserAttributes=[dn], request=(&(objectClass=group)(member={0}))}
2014.01.20 16:12:32 INFO  [o.s.p.l.LdapContextFactory]  Test LDAP connection on ldap://dc02.mydomain.co.uk:389: OK
2014.01.20 16:12:32 INFO  [org.sonar.INFO]  Security realm started

Mais il ne semble tout simplement pas travailler pour mon utilisateur, sauf si j'utilise un utilisateur local. Lors de l'activation de la journalisation sur l'emballage par le cadre:

wrapper.console.loglevel=DEBUG

J'obtiens l'erreur suivante dans les logs qui n'a pas vraiment beaucoup! 🙂

2014.01.20 17:07:10 ERROR [rails]  Error from external users provider:

OriginalL'auteur caveman_dick | 2014-01-20

  1. 15

    J'ai travaillé par le biais de l'obtention de la SonarQube plugin LDAP pour travailler avec Active Directory moi-même. Puisque tout le monde de réseau est configuré différemment, souvent, vous ne pouvez pas simplement copier et coller une configuration. Voici le processus que j'ai utilisé pour déterminer la configuration correcte dans mon entreprise:

    Comme indiqué dans le la documentation, cette configuration se passe dans le fichier:

    SONARQUBE_HOME/conf/sonar.propriétés

    La ligne suivante est requise en tant que-est:sonar.security.realm=LDAP. D'autres lignes seront différentes par entreprise.

    Il a été utile pour moi de tester la configuration avec un outil graphique. J'ai utilisé le Softerra LDAP Browser (libre en lecture seule version de l'Administrateur LDAP). Dans ce Navigateur LDAP,

    1. Créer un nouveau profil.
    2. De recherche de Serveurs bouton permettra de déterminer ldap.url. Vous aurez besoin de se retrouver avec quelque chose le long des lignes de ldap.url=ldap://dc01.mycompany.local:3268. REMARQUE: Comme indiqué dans une autre réponse, il peut être un autre port que celui présenté dans cet écran.
    3. Le DN de Base de la boîte peut être laissé vide pour l'instant.
    4. Pour l'authentification, j'ai juste choisi l'utilisateur actuellement connecté.
    5. Le filtre peut aussi être laissé vide pour l'instant.
    6. Cliquez sur Terminer et il devrait afficher les éléments du niveau supérieur de votre ANNONCE.
    7. F3 permet de basculer la barre de Recherche Rapide.
    8. Puisque vous ne pouvez pas vous connecter SonarQube AD avec l'Authentification Anonyme, vous devrez sélectionner un utilisateur pour la SonarQube service pour se connecter en tant que. De recherche de l'utilisateur dans la Recherche Rapide.
    9. Vous devriez trouver un Nom Commun (CN) entrée. Double-cliquez pour l'ouvrir.
    10. Trouver le distinguishedName champ et la copie de sa valeur à utiliser comme votre ldap.bindDn
    11. ldap.bindPassword devrait être que le mot de passe utilisateur.
    12. Qui devrait être suffisant pour laisser SonarQube démarrer avec succès, mais il ne suffit PAS de laisser de recherche pour l'utilisateur qui tente de se connecter à votre SonarQube portail web. Pour cela, choisir d'abord un exemple de personne (comme vous).
    13. Faire une autre Recherche Rapide pour l'exemple de la personne et d'ouvrir leur CN entrée
    14. Prendre la valeur de leur distinguishedName, supprimer le "CN={Leur Nom}," pièce, et placez-la dans ldap.user.baseDn
    15. La dernière pièce que vous devez déterminer avec le ldap.user.request. La suggestion de la SonarQube docs à utiliser avec AD fonctionné pour moi: (&(objectClass=user)(sAMAccountName={login})). Laissez-moi vous expliquer pourquoi, dans le cas où il ne fonctionne pas pour vous. Le "{login}" va être remplacé par ce que la SonarQube entre dans leur nom d'utilisateur, de sorte que la demande de la chaîne (qui est appelé "Filtre" dans le Navigateur LDAP) est essentiellement en disant à la recherche de toutes les entrées avec tout objectClass égal à "utilisateur" et leur sAMAccountName égal à tout ce qui est tapé dans la zone de texte nom d'utilisateur dans votre SonarQube portail web. À l'intérieur de l'échantillon de la personne info, il devrait y avoir au moins un champ appelé "objectClass". L'un de ceux qui doit avoir la valeur "utilisateur". Il devrait également être un champ pour sAMAccountName. Utilisez cette valeur pour la zone de texte nom d'utilisateur dans votre SonarQube portail web.
    16. Pour tester si cette requête doit travailler pour vous, faire une Recherche dans l'Annuaire LDAP du Navigateur (Ctrl+F3). Mettez votre ldap.de l'utilisateur.baseDn valeur dans le champ "Recherche DN" texbox et de mettre votre ldap.de l'utilisateur.valeur de la requête dans le Filtre texbox (assurez-vous de remplacer manuellement "{login}" avec votre exemple de nom d'utilisateur). Il doit retourner le CN entrée pour l'exemple de la personne.
    Merci de ne pas poster de lien seulement des réponses à d'autres Débordement de Pile questions. Au lieu de cela, le vote/pavillon à proximité des doublons, ou si la question n'est pas un doublon, adapter la réponse à cette question spécifique.
    Désolé, cette question a déjà une réponse spécifique à la discussion de la question. Le lien que j'ai posté était une façon plus générale, la solution qui je pense sera utile pour les personnes qui pourraient trouver ce post, mais n'ont pas tout à fait le même problème. Cela ne semble pas comme un double de moi, mais je ne peux pas penser à un moyen de l'adapter davantage à la question précise qui soit.
    Je ne sais rien à propos de SonarQube, donc je ne peux pas vous aider avec la "bonne" chose à faire, mais je peux vous dire que l'affichage d'un lien seule réponse est la mauvaise chose à faire. Voir: Votre réponse est dans un autre château: quand est-ce une réponse pas de réponse?
    OK, merci. J'ai déplacé la réponse ici car je pense que c'est l'endroit plus adapté (et l'a supprimé de son emplacement d'origine, car il est maintenant marqué comme un double de celui-ci).

    OriginalL'auteur kevinpo

  2. 9

    Grâce à @aaron qui a réussi à me diriger dans la bonne direction! Pour ma question, c'était un problème avec l'auto-découverte et de la forêt, j'ai été connectez. Selon http://technet.microsoft.com/en-us/library/cc978012.aspx vous devez utiliser un port différent lors de la connexion à une forêt de sorte qu'il peut chercher l'ensemble de la forêt plutôt que le nom de domaine que vous arriver à se connecter (qui, je suppose, peut-être pas le bon un seul en auto-mode de découverte). À la fin de la configuration qui a fonctionné pour moi a été:

    # General Configuration
ldap.realm=mydomain.com
sonar.security.realm=LDAP
sonar.authenticator.createUsers=true
sonar.security.savePassword=true
sonar.security.updateUserAttributes=true
ldap.url=ldap://dc.mydomain.com:3268 

# User Configuration
ldap.user.request=(&(objectClass=user)(sAMAccountName={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

    Qui est en fait assez simple et ne nécessite pas un compte d'utilisateur pour se connecter avec. Cela signifie qu'il est en SIMPLE mode d'authentification (je n'arrive pas à le faire fonctionner dans n'importe quoi d'autre) mais c'est bien avec moi que c'est une interne du système.

    je n'ai jamais entendu parler en utilisant le terme de la forêt en relation avec ldap, après un ptit la pensée de son un tas de (Ldap), des arbres, je suppose.
    Vous ne savez pas si c'est un ActiveDirectory de la terminologie. Dans notre cas est-il de multiples domaines qui ont un niveau de confiance entre eux. Pas familier avec LDAP, donc ne sais pas si il y a un équivalent.

    OriginalL'auteur caveman_dick

  3. 3

    Je suis à l'aide de SonarQube 3.7.3 et j'ai attaché ma configuration qui fonctionne. J'espère que ce serait utile.

    # General Configuration
sonar.security.realm=LDAP
sonar.authenticator.createUsers=true
sonar.security.savePassword=true
sonar.security.updateUserAttributes=true
ldap.url=ldap://...
ldap.bindDn=user
ldap.bindPassword=password

# User Configuration
ldap.user.baseDn=ou=People,dc=company,dc=local
ldap.user.request=(&(objectClass=user)(sAMAccountName={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail
    Merci pour votre config de détails. J'ai essayé de reproduire ces sur ma configuration et ça ne fonctionne toujours pas. 🙁 Avez-vous d'utiliser un préfixe de domaine lors de la connexion? Aussi, ne vous ont localement set-up des utilisateurs?
    avez-vous des serveur ldap ou active directory?
    Active Directory
    Je vois que vous êtes en utilisant le Groupe de Configuration. Pouvez-vous supprimer de la configuration et de test?
    Déjà essayé de l'enlever. 🙁 Je pense que je doit avoir tout essayé différentes combinaisons d'options de configuration. Je me demandais si il y a un bug dans la version que j'utilise...

    OriginalL'auteur Eddú Meléndez

  4. 3

    Mon Fix

    J'avais soigneusement vérifié mes paramètres, au point même de l'aide de l'identifiant du fichier "mappage de l'Utilisateur" ligne de sortie de configurer un manuel de la commande ldapsearch de commande et vérifiez que mon utilisateur a été récupéré correctement.

    Pour une raison quelconque, la spécification de ce paramètre fixe pour moi:

    ldap.user.realNameAttribute=cn

    Pourquoi?

    Cet attribut est censé être en option et par défaut à la cn de toute façon, mais il ne fonctionne que pour moi si je le spécifier manuellement. Ce peut-être un bug.

    Débogage avec la commande ldapsearch

    ldapsearch peut vous permettre de contourner l'application de requête LDAP directement.

    J'ai regardé dans le fichier journal pour cette ligne:

    INFO  web[o.s.p.l.LdapSettingsManager] User mapping: LdapUserMapping{baseDn=DC=my-ad,DC=example,DC=com, request=(&(objectClass=user)(sAMAccountName={0})), realNameAttribute=cn, emailAttribute=mail}

    Puis construit un ldapsearch commande comme:

    ldapsearch -D CN=myldapuser,CN=Users,DC=my-ad,DC=example,DC=com -W -h my-ad.example.com -b "DC=my-ad,DC=example,DC=com" "(&(objectClass=user)(sAMAccountName=myuser))"
    • -D indique le DN de liaison, fondamentalement, l'identifiant de connexion LDAP
    • -W signifie que la commande ldapsearch vous invite à entrer le mot de passe
    • -h spécifie l'URL LDAP
    • -b doit être baseDN à partir de la ligne de fichier journal
    • Le dernier paramètre de position est la valeur de la requête à partir de la ligne de fichier journal, après le remplacement de {0} avec un nom d'utilisateur réel.

    Si vous obtenez de véritables infos de l'utilisateur en arrière, cela signifie que les paramètres de base sont à droite. C'est un indice que quelque chose ne va pas.

    OriginalL'auteur jtpereyda

  5. 2

    http://blogs.msdn.com/b/visualstudioalm/archive/2015/11/13/support-for-active-directory-and-single-sign-on-sso-in-the-sonarqube-ldap-plugin.aspx

    Avec la nouvelle v1.5, une seule ligne est nécessaire:

    Configuration LDAP

    sonar.de sécurité.realm=LDAP

    OriginalL'auteur Jirong Hu

  6. 0

    En utilisant le port 3268 a fait le tour pour moi. Voici ma configuration qui fonctionne avec SonarQube 5.0.1 et Active Directory:

    sonar.security.realm=LDAP
sonar.security.savePassword=true
sonar.security.updateUserAttributes=true
sonar.authenticator.createUsers=true

ldap.url=ldap://dc101.office.company.com:3268
ldap.bindDn=CN=Service Account,OU=Windows Service,OU=Accounts,OU=Resources,DC=office,DC=company,DC=com
ldap.bindPassword=PASSWORD

ldap.user.baseDn=DC=office,DC=company,DC=com
ldap.user.request=(&(objectClass=user)(sAMAccountName={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

    OriginalL'auteur Nathan

  7. 0

    Aucune des solutions avant que travaillé pour moi, mais c':

    # Configuration
sonar.realm=myreal.domain.com
sonar.security.realm=LDAP
sonar.authenticator.createUsers=true
sonar.security.savePassword=true
sonar.security.updateUserAttributes=true
ldap.url=ldap://myreal.domain.com:389

ldap.bindDn=cn=CNUser,dc=domain,dc=com
ldap.bindPassword=password

# User Configuration
ldap.user.baseDn=ou=people,dc=domain,dc=com
ldap.user.request=(&(objectClass=user)(sAMAccountName={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

#logeo lo que pasa
wrapper.console.loglevel=DEBUG

    Mon serveur Ldap n'besoins d'authentification, donc je ne peux pas l'éviter. Si elle ne fonctionne pour vous, essayez de ne pas especify la ldap.user.request: tout dépend de la configuration de vos réseaux serveur LDAP.

    en ne spécifiant pas la demande les moyens qu'il utilise: (&(objectClass=inetOrgPerson)(uid={login}))

    OriginalL'auteur EliuX