Аутентификация LDAP Redmine
Довольно распространено дать права бога DBA по SQL-серверу по следующим причинам:
- SQL-сервер является обычно просто SQL-сервером, следовательно единственный сервис, на который может повлиять DBA, является тем, за который он ответственен.
- DBAs иногда должен перезагружать сервер и реконфигурировать ОС.
- Практически, где DBA должен был бы иначе разбудить администратора на ночной выноске.
Тем не менее это действительно зависит от организации и вида DBAs, который Вы имеете. Плюс, можно предоставить административный доступ DBA по экземпляру SQL, также не предоставляя административный доступ к ОС. Это предпочтено, если Вы/можете доверие DBA для поддержания ОС, и необходимо будет взять на себя обязанности по перезагрузке/обслуживанию сами.
Вы задали загруженный вопрос, хотя, так как MS действительно не имеет фиксированной позиции по этой проблеме. Вы могли бы найти некоторые technet обсуждения проблемы, но я не вижу, что они выпускают отчет. Самыми близкими я могу получить Вас, являются лучшие практики безопасности doco: http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc
Ну, я решил его. Используемый эта ссылка.
Короче говоря, (или a) корректная конфигурация для меня была:
Name = My Directory (anything you want)
Host = host.local (yes, the .local)
Port = 389
LDAPS = no
Account = (empty)
Password = (empty)
Base DN = DC=host,DC=subdomain,DC=domain,DC=org
On-the-fly user creation = yes
Attributes
Login = uid
Firstname = givenName
Lastname = sN
Email = mail
Примите во внимание, что с непрерывным пользовательским созданием по состоянию на время записи этого пользователям нужен набор действующего адреса электронной почты в ldap/opendirectory!
"do_bind: недопустимый dn (корень)"
Это, вероятно, означает, что Ваш идентификатор пользователя root находится в неправильном формате. Вероятно, необходимо поместить его или в выдающийся формат имени или как sAmAccount формат.
Например, Нотация Имени Distinguised:
DN=root, DC=subdomain, DC=domain, DC=com
Это работало бы на пользователя root, который находится в основе Вашего каталога субдомена.
нотация sAmAccount:
root@subdomain.domain.com
Этот легче, потому что это не требует полного пути к DN пользователя root.
с последней версией Bitnami 3.3.1.0 Я использовал следующие настройки:
Name = My Directory (anything you want)
Host = ldap-auth-serv.host.local (yes, the .local)
Port = 636
LDAPS = yes
Account = RedminAuthUser@domain.local (userPrincipalName Redmine user from AD)
Password = hisPassword
Base DN = OU=UsersCorp,DC=domain,DC=org
On-the-fly user creation = yes
Attributes
Login = sAMAccountName
Firstname = givenName
Lastname = sN
Email = mail
Для аутентификации LDAPS создал новый шаблон сертификата SSL LDAP, выдал сертификат для DC1, установил этот сертификат для доменных служб Active Directory (экспорт -import), проверено с помощью ldp.exe LDAPS-подключение к порту 636. И вперед!