Redmine 預設就有 LDAP Authentication 功能, 無須額外的外掛.

1. 目的

設定透過 Windows AD 認證. Admin可以建立 Windows AD 的帳號之外, AD User 登入時亦可以自動建立帳號

2. 準備工作

  • Windows AD 的 IP (例如: 192.168.1.1)
  • Windows AD 的 Port (通常是 389/tcp, 或 3268/tcp)
  • Windows AD 的 Domain User (一般權限即可, 例如: MYDOMAIN\redmine_ldap), 用來讓 Redmine 連線 Windows AD
  • Base DN: 從 AD Tree 的哪個節點開始搜尋 (即 Users 的帳號放在哪個位置, 通常是 CN=Users,DC=mydomain,DC=com,DC=tw), 以免搜尋範圍太大, 造成負擔過重, 或者造成搜尋項目超過 LDAP 限制 (通常限制 sizelimit =1000 筆)
  • LDAP Filter: 限定搜尋條件, 以免搜尋範圍太大, 造成負擔過重, 或者造成搜尋項目超過 LDAP 限制 (通常限制 sizelimit =1000 筆

2. 設定方式

  • 以 admin 登入 Redmine
  • 點主功能表的 Administration --> LDAP authentication --> New authentication mode

  • 輸入以下資料後按 "Create"
    • Name: <自己任意取個名字, 例如 MyDomain>
    • Host: <Windows AD 的 IP>
    • Port: <Windows AD 的 Port>
    • Account: <Windows AD 的 Domain User>
    • Password: <上述 Domain User 的密碼>
    • Base DN: <Base DN>
    • LDAP Filter: <LDAP filter>
    • Timeout (in seconds): 若 Windows AD 是在區域網路, 可設定為 30, 若是在別的 Site, 可考慮 60
    • On-the-fly user creation: 請勾選, 這樣可以在 User 登入時自動建立帳號, 並自動帶入下面的屬性
    • Login attribute: sAMAccountName
    • Firstname attribute: displayName
    • Lastname attribute: sAMAccountName
    • Email attribute: mail
  • 按 "Test" 測試設定有無成功

3. 其他設定

Administration --> Settings --> Authentication

  • Authentication required: 若不允許 Anonymous (沒有帳號的 User) 使用, 則勾選
  • Self-registration: 可否註冊. 我的政策是不行, 所有 User 都吃 Windows AD 帳號並自動建立, 所以此選項 Disable
  • Allow users to delete their own account: 當然不行, 請取消勾選
  • Allow password reset via email: 當然不行 (密碼是 Windows AD 控制), 請取消勾選


4. 顯示 User 大頭照

有個外掛 (Ldap avatar plugin, 後續會提到) 會很有用, 若 Windows AD 裡面有存大頭照的話, 這個外掛可以帶出來, 並顯示在 Issue 上面

 

5. 手動建立 User

若 User 就是不願意自行登入 (這樣 Issue 就無法指派給他), Admin 也可以手動在 Redmine 上建立帳號

Administration --> Users --> New user

這裡有個很貼心的地方, 只要在 login 欄位裡面輸入 Windows AD 帳號的前面幾碼, Redmine 就會自動帶出符合條件的帳號給你選擇

影片

arrow
arrow
    文章標籤
    Redmine Windows AD
    全站熱搜

    Egg Chang 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄