系统运维

配置Confluence以使用LDAP身份验证

浅时光博客 · 3月3日 · 2020年 · 24.4w 次已读

一、LDAP服务

LDAP(轻量级目录访问协议)是一种用于访问和维护分层目录信息的开放标准协议。它通常用于存储和组织用户、组、设备和其他资源的信息,以便在网络环境中实现身份认证、授权和资源管理。LDAP 协议基于客户端-服务器模型,支持高效地查询和修改目录中的信息。

以下是大致的 LDAP 服务搭建流程:

  1. 安装 LDAP 服务器软件: 首先需要选择一个 LDAP 服务器软件,比较常用的有 OpenLDAP、Microsoft Active Directory 等。根据所选软件的要求,进行安装。
  2. 配置 LDAP 服务器: 原文链接:https://dqzboy.com在安装完 LDAP 服务器后,需要进行配置。这包括配置基础信息如域名、管理员账户,设置访问权限、定义目录架构等。
  3. 添加目录数据: LDAP 服务器的核心是存储目录数据。根据组织的需求,添加用户、组织架构、设备等信息到目录中。
  4. 配置安全性和认证: 配置 LDAP 服务器的安全性设置,包括设置密码策略、TLS/SSL 加密、访问控制等。这确保了数据的保密性和完整性。
  5. 测试和验证: 使用 LDAP 客户端工具(如 Apache Directory Studio、JXplorer 等)连接到服务器,验证目录数据是否可以正常访问和修改。也可以通过应用程序测试身份认证和授权。
  6. 集成应用程序: 将你的应用程序连接到 LDAP 服务器,实现用户认证、资源授权等功能。大多数操作系统、服务和应用程序都支持 LDAP 集成。
  7. 维护和管理: 定期维护和管理 LDAP 服务器,包括备份和恢复数据、监控性能、更新安全策略等。

需要注意的是,LDAP 部署的复杂程度可能因组织需求和所选的服务器软件而有所不同。如果你是初次接触 LDAP,可能会需要一些时间来熟悉相关概念和配置。推荐先阅读所选 LDAP 服务器的文档和教程,以便更好地理解搭建流程和最佳实践。

二、配置WIKI

站点管理 ——> 用户管理 ——> 用户目录 ——> 添加目录

服务器设置说明

  1. 名称部分使用默认配置即可;
  2. 目录类型选择LDAP服务器(如果是OpenLDAP就选择OpenLDAP);
  3. 主机名填写LDAP服务所在服务器的IP地址;
  4. 端口默认389,如果不是这个端口,记得修改,如果配置了SSL,记得勾选;
  5. 账号填写用来连接LDAP服务器的账号,类似cn=users,dc=ad,dc=example,dc=com;
  6. 密码填写与第5项相匹配的密码即可;

LDAP模式设置说明

  1. 基础 DN填写LDAP的根节点,类似dc=example,dc=com;
  2. 附加用户 DN填写限制用户搜索范围的值,类似ou=test,不填的话从基础 DN开始搜索;
  3. 附加组 DN填写限制用户组搜索范围的值,和第2项类似;

LDAP权限设置说明

  • 这里有三个单项选择,分别代表只读、本地只读、以及读写。
  • 只读:confluence只能从LDAP中读取用户以及用户组信息,所有对用户及用户组的修改不能通过confluence进行。
  • 本地只读:相比只读来说,本地只读可以在confluence中添加组,并且会将LDAP同步过来的用户加入到该组中。
  • 读写:不但可以读取LDAP上的用户及组信息,还可以通过confluence修改这些信息,这些信息会自动同步到LDAP。

测试通过即可继续下面的操作

三、配置权限

站点管理 ——> 用户&安全 ——> 全局权限

四、LDAP 术语

当涉及 LDAP(轻量级目录访问协议)时,以下术语对于理解和操作目录数据非常重要:

  • Entry (or Object) – 条目(或对象): LDAP 文章来源(Source):浅时光博客中的每个单元都被视为一个条目(或对象)。这可以代表一个用户、组织、设备等。每个条目都有一个唯一的标识名(DN)用于在目录中定位。
  • DN (Distinguished Name) – 区别名: 区别名是用于唯一标识 LDAP 目录树中的条目的名称。它由一系列的键值对构成,通常采用逆序的域名风格,例如 dc=example,dc=com 表示域名 example.com。DN 是条目在目录中的全局唯一标识。
  • OU (Organizational Unit) – 组织单元: 组织单元是用于在目录中组织和分类条目的容器。它可以代表组织内的部门、分支或子组织。例如,ou=HR,dc=example,dc=com 可能代表 HR 部门的组织单元。
  • DC (Domain Component) – 域组件: 域组件是构成域名的一部分。域名是层次化结构,例如 example.com 可以表示为 dc=example,dc=com
  • CN (Common Name) – 通用名称: 通用名称用于标识条目中的对象。对于用户条目,通常使用 CN 表示人的姓名;对于其他类型的条目,它可以代表条目的名称。

以上这些术语组合在一起,构成了 LDAP 目录结构的基础。LDAP 用于存储和组织这些条目,以提供高效的访问和搜索能力,通常用于实现身份认证、资源授权、联系信息存储等功能。你可以通过 LDAP 客户端工具来操作这些条目,进行查询、添加、修改和删除等操作。


本文作者:浅时光博客
原文链接:https://www.dqzboy.com/1575.html
版权声明:知识共享署名-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)协议进行许可,转载时请以>超链接形式标明文章原始出处和作者信息
免责声明:本站内容仅供个人学习与研究,严禁用于商业或非法目的。请在下载后24小时内删除相应内容。继续浏览或下载即表明您接受上述条件,任何后果由用户自行承担。

相关文章

Confluence、Jira登入被循环注销,Cookie 被覆盖问题

8月1日 · 2025年

Confluence与JIRA问题总结及性能优化

9月6日 · 2020年

建立Confluence与JIRA任务关联:实现无缝协作

8月30日 · 2020年

统一用户管理:Confluence与Jira整合

3月2日 · 2020年
7 条回应

必须 注册 为本站用户, 登录 后才可以发表评论!

  1. _643北京2021-5-8 · 14:55

    三、配置权限中的confluence-users-openldap这个组是需要自己新建吗,我按照博客中配置测试完都没问题,就是找不到这个组

    • 浅时光博客2021-5-8 · 15:11

      这个不用新建,默认就有的

      • _643北京2021-5-8 · 15:28

        按理说我在wiki中关联了LDAP后,只要在DAP中新建用户就可以登录wiki了对吧,但是ldap中新建的用户登录wiki报错用户名密码错误

    • _643北京2021-5-8 · 15:13

      知道了,这个是OpenLDAP中建立的

      • 浅时光博客2021-5-8 · 19:56

        这个同步的是LDAP中的用户

  2. daozi未知2021-1-13 · 21:01

    老哥,对接AD域可以做到只同步某个ou或某个组下面的用户么?

    • 浅时光博客2021-1-13 · 21:03

      可以的,详细的配置你需要看微软的AD文档

Copyright © 2019- dqzboy.com. All Rights Reserved. 浅时光博客版权所有
浅时光博客 | 精彩程序人生
dqzboy.com
复制成功,若要转载请务必保留原文链接!