6
Probleme mit LDAP Group mapping in Nexus und Jenkins
Hi,
bald sollen bei uns alle genutzten Strukturen zur User-Authentifizierung gegen ein LDAP laufen. Also habe ich einen Server mit Apache Directory Studio aufgesetzt und wollte das schon mal mit unserem Sonatype Nexus ausprobieren. Ich bin den offiziellen Anleitungen von Nexus gefolgt zur Konfiguration und alles funktioniert (Authentifizierung von Nexus gegenüber LDAP Server, User mapping), außer dem group mapping.
Also Nexus kann den LDAP Server abfragen und alle User sehen, sieht nur keine Gruppen. Ich habe dann als nächstes Jenkins konfiguriert und dort trat das gleiche Problem auf.
Hier mal ein paar Infos zur LDAP-Konfiguration von Nexus:
Base DN für User: ou=users,ou=system
Object Class User: inetOrgPerson
User ID Attribut: uid
Passwort Attribut: userPassword
> damit funktioniert das User mapping einwandfrei
Base DN für Groups: ou=groups,ou=system
Object Class Groups: groupOfUniqueNames
Group ID Attribut: cn
Group Member Attribut: uniqueMember
Group Member Format: uid=${username},ou=users,ou=system
>damit sieht er gar keine Gruppen
Danke schon mal für eure Hilfe!
Manuel
bald sollen bei uns alle genutzten Strukturen zur User-Authentifizierung gegen ein LDAP laufen. Also habe ich einen Server mit Apache Directory Studio aufgesetzt und wollte das schon mal mit unserem Sonatype Nexus ausprobieren. Ich bin den offiziellen Anleitungen von Nexus gefolgt zur Konfiguration und alles funktioniert (Authentifizierung von Nexus gegenüber LDAP Server, User mapping), außer dem group mapping.
Also Nexus kann den LDAP Server abfragen und alle User sehen, sieht nur keine Gruppen. Ich habe dann als nächstes Jenkins konfiguriert und dort trat das gleiche Problem auf.
Hier mal ein paar Infos zur LDAP-Konfiguration von Nexus:
Base DN für User: ou=users,ou=system
Object Class User: inetOrgPerson
User ID Attribut: uid
Passwort Attribut: userPassword
> damit funktioniert das User mapping einwandfrei
Base DN für Groups: ou=groups,ou=system
Object Class Groups: groupOfUniqueNames
Group ID Attribut: cn
Group Member Attribut: uniqueMember
Group Member Format: uid=${username},ou=users,ou=system
>damit sieht er gar keine Gruppen
Danke schon mal für eure Hilfe!
Manuel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 214755
Url: https://administrator.de/contentid/214755
Printed on: April 26, 2024 at 09:04 o'clock
6 Comments
Latest comment
Hi
Es könnte sein das ich mich jetzt hier blamiere aber soweit mir bekannt ist gibt es 3 arten von Gruppen:
DL Gruppen = Domainlocale Gruppe
GL Gruppen= Globale Gruppe
UN Gruppen= Universale Gruppe
Welche Gruppe hast du den erstellt ??? DL Gruppen und GL Gruppen werden bei einem Domain Trust auch nicht übertragen da sie Domainspezifisch sind. Nur UN Gruppen werden Domainübergreifend angezeigt.
Vielleicht musst du nur die art der Gruppe im Active Directory ändern um die gruppe angezeigt zu bekommen.
PS: zumindest ist das bei einem Windows AD so !!
LG Andy
Es könnte sein das ich mich jetzt hier blamiere aber soweit mir bekannt ist gibt es 3 arten von Gruppen:
DL Gruppen = Domainlocale Gruppe
GL Gruppen= Globale Gruppe
UN Gruppen= Universale Gruppe
Welche Gruppe hast du den erstellt ??? DL Gruppen und GL Gruppen werden bei einem Domain Trust auch nicht übertragen da sie Domainspezifisch sind. Nur UN Gruppen werden Domainübergreifend angezeigt.
Vielleicht musst du nur die art der Gruppe im Active Directory ändern um die gruppe angezeigt zu bekommen.
PS: zumindest ist das bei einem Windows AD so !!
LG Andy
Ich glaube ich blamiere mich jetzt eher 
Von diesen Arten von Gruppen wusste ich bisher gar nichts... du weißt nicht zufällig, wie die definiert werden (evtl. speziell in Apache Directory Studio)?
Bisher sehen Gruppen DNs bei mir so aus: cn=Gruppenname,ou=Gruppensubtree,ou=groups,ou=system als Objekte von groupOfUniqueNames
LG
Manuel
Von diesen Arten von Gruppen wusste ich bisher gar nichts... du weißt nicht zufällig, wie die definiert werden (evtl. speziell in Apache Directory Studio)?
Bisher sehen Gruppen DNs bei mir so aus: cn=Gruppenname,ou=Gruppensubtree,ou=groups,ou=system als Objekte von groupOfUniqueNames
LG
Manuel
Hi
Nein Ich rede hier von einem Windows Active directory gegen das eine Authentifizierung läuft. Also im Windows AD gibt es diese art von Gruppen.
Aus deinem Post geht nicht hervor gegen welchen Server du die Authentifizierung durchführst ? Windows 2003,2008,2008 R2 ???
Die von mir genannten Gruppen legt man in einem Windows AD an.(Grafische Oberfläche)
PS: Hier habe ich zur erklärung was nettes gefunden:http://www.msxfaq.de/verschiedenes/gruppen.htm
Wie man über LDAP die art der gruppe festlegt weiss ich leider nicht.
LG Andy
Nein Ich rede hier von einem Windows Active directory gegen das eine Authentifizierung läuft. Also im Windows AD gibt es diese art von Gruppen.
Aus deinem Post geht nicht hervor gegen welchen Server du die Authentifizierung durchführst ? Windows 2003,2008,2008 R2 ???
Die von mir genannten Gruppen legt man in einem Windows AD an.(Grafische Oberfläche)
PS: Hier habe ich zur erklärung was nettes gefunden:http://www.msxfaq.de/verschiedenes/gruppen.htm
Wie man über LDAP die art der gruppe festlegt weiss ich leider nicht.
LG Andy
Also wir fahren kein Windows AD, sondern einen Apache Directory Server, der die LDAP RFCs implementiert. Damit hat sich das mit den Arten von Gruppen wahrscheinlich erledigt.
Danke trotzdem für die superschnelle Antwort.
LG
Manuel
Danke trotzdem für die superschnelle Antwort.
LG
Manuel
Hi
Bitte gerne
Ich würde die Frage übrigens nicht unbedigt unter Sicherheit Posten sonder eher in der linuxsparte da gibt es denke ich mehr Experten die dir weiterhelfen können.
PS: Vieleicht hilft dir ja diese Anleitung weiter:
http://www.hackrunner.com/2012/04/installing-nexus-on-ubuntu-11-10-and- ...
oder
http://de.scribd.com/doc/16027005/Repository-Management-with-Sonatype-N ...
LG Andy
Bitte gerne
Ich würde die Frage übrigens nicht unbedigt unter Sicherheit Posten sonder eher in der linuxsparte da gibt es denke ich mehr Experten die dir weiterhelfen können.PS: Vieleicht hilft dir ja diese Anleitung weiter:
http://www.hackrunner.com/2012/04/installing-nexus-on-ubuntu-11-10-and- ...
oder
http://de.scribd.com/doc/16027005/Repository-Management-with-Sonatype-N ...
LG Andy
Hat sich erledigt, mein Fehler war den Subtree ou=system zu benutzen. Der ist wirklich nur für die Verwaltung des Apache Directory Servers gedacht. Deshalb können die dort hinterlegten Benutzer (eben auch der Benutzer, den Nexus benutzt, um Logindaten abzufragen) nur "nach unten" suchen (also im Baum). Der Trick ist eine neue Partition neben ou=system anzulegen (in der Server.xml konfigurieren, dann anlegen) mit o=NameDesProjektes und darunter dann ou=groups und ou=users anzulegen. Damit funktioniert bei mir jetzt alles einwandfrei.
LG Manuel
LG Manuel