Autenticação do GitLab Active Directory: sem resultados e sem autenticação

Navegue suas respostas
7

Estou tentando configurar a autenticação LDAP com o GitLab (versão 7.12.2 instalada no Ubuntu 14.04 amd64 em uma VM, configuração Omnibus). Eu editei meu arquivo gitlab.rb para parecer com o seguinte: 

gitlab_rails['ldap_enabled'] = true
gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' # remember to close this block with 'EOS' below
 main: # 'main' is the GitLab 'provider ID' of this LDAP server
   label: 'LDAP'
   host: '********'
   port: 389
   uid: 'sAMAccountName'
   method: 'plain' # "tls" or "ssl" or "plain"
   bind_dn: 'CN=********,OU=********,OU=********,DC=********,DC=***'
   password: '********'
   active_directory: true
   allow_username_or_email_login: false
   block_auto_created_users: false
   base: 'DC=********,DC=***'
   user_filter: ''
EOS

Isso resulta no temido "Não foi possível autorizá-lo do Ldapmain porque" Credenciais inválidas "." erro. Eu tentei, para o nome de usuário (na variável bind_dn): "[email protected]" (email baseado no nome de usuário), "John Smith" (nome completo) e "johnsmith" (nome de usuário). Os resultados são sempre os mesmos. Minha senha tem um @ -sign nela. Não tenho certeza se preciso fugir disso ou como.

Logs mostram isso: 

Started POST "/users/auth/ldapmain/callback" for 127.0.0.1 at 2015-07-22 17:15:01 -0400
Processing by OmniauthCallbacksController#failure as HTML
  Parameters: {"utf8"=>"✓", "authenticity_token"=>"[FILTERED]", "username"=>"********", "password"=>"[FILTERED]"}
Redirected to http://192.168.56.102/users/sign_in
Completed 302 Found in 14ms (ActiveRecord: 3.6ms)
Started GET "/users/sign_in" for 127.0.0.1 at 2015-07-22 17:15:01 -0400
Processing by SessionsController#new as HTML
Completed 200 OK in 20ms (Views: 8.3ms | ActiveRecord: 2.9ms)

E gitlab-rake gitlab:ldap:check mostra isso: 

Checking LDAP ...

LDAP users with access to your GitLab server (only showing the first 100 results)
Server: ldapmain

Checking LDAP ... Finished

No entanto, quando eu uso o ldapsearch da VM do Ubuntu (para o mesmo ambiente), eu obtenho vários resultados: 

ldapsearch -x -h ******** -D "********@********.***" -W -b "OU=********,OU=********,DC=********,DC=***" -s sub "(cn=*)" cn mail sn dn

Curiosamente, os resultados do DN nos resultados são assim: 

dn: CN=John Smith,OU=********,OU=********,OU=********,DC=********,DC=***

Ou seja, há uma UO extra lá. Também vejo que o comando ldapsearch tem -s sub , o que, acredito, significa pesquisar subgrupos. Não estou muito familiarizado com os detalhes do LDAP ou do Active Directory.

Então eu acredito que estou perdendo alguma coisa na minha base, mas não tenho certeza do que. Também pode ser um problema com o filtro do usuário. Eu fiz o necessário Google, o que me levou até aqui, mas agora estou sem ideias e soluções.

    
por siride 22.07.2015 / 23:22

1 resposta

9

Consegui resolver isso depois de várias tentativas diferentes. Algumas notas:

  • Certifique-se de que todas as linhas, exceto a primeira, tenham um único espaço para recuo. A primeira linha é aquela que diz "main:" e que não tem nenhum recuo.
  • O bind_dn não é o caminho LDAP completo para o usuário de ligação, mas apenas o nome de usuário. No meu caso, é "[email protected]".
  • A base precisa ser o grupo do Active Directory ou o DN ou qualquer nome que contenha todos os usuários.

Aqui está o YAML final: 

main: # 'main' is the GitLab 'provider ID' of this LDAP server
 label: 'Active Directory'
 host: 'ad-server.example.com'
 port: 389
 uid: 'sAMAccountName'
 method: 'plain' # "tls" or "ssl" or "plain"
 bind_dn: '[email protected]'
 password: 'password'
 active_directory: true
 allow_username_or_email_login: false
 block_auto_created_users: false
 base: 'OU=ABC,OU=XYZ,DC=example,DC=com'
 user_filter: ''
    
por 07.08.2015 / 15:46

Tags

Como faço para parar de fãs Dell R730xd de ir a toda velocidade quando Broadcom / QLogic NetXtreme 57711 placa PCI adicionado? Chef - Como calcular atributos de valores específicos de nós?