Redmine 預設就有 LDAP Authentication 功能, 無須額外的外掛.
1. 目的
設定透過 Windows AD 認證. Admin可以建立 Windows AD 的帳號之外, AD User 登入時亦可以自動建立帳號
2. 準備工作
- Windows AD 的 IP (例如: 192.168.1.1)
- Windows AD 的 Port (通常是 389/tcp, 或 3268/tcp)
- Windows AD 的 Domain User (一般權限即可, 例如: MYDOMAIN\redmine_ldap), 用來讓 Redmine 連線 Windows AD
- Base DN: 從 AD Tree 的哪個節點開始搜尋 (即 Users 的帳號放在哪個位置, 通常是 CN=Users,DC=mydomain,DC=com,DC=tw), 以免搜尋範圍太大, 造成負擔過重, 或者造成搜尋項目超過 LDAP 限制 (通常限制 sizelimit =1000 筆)
- LDAP Filter: 限定搜尋條件, 以免搜尋範圍太大, 造成負擔過重, 或者造成搜尋項目超過 LDAP 限制 (通常限制 sizelimit =1000 筆
2. 設定方式
- 以 admin 登入 Redmine
- 點主功能表的 Administration --> LDAP authentication --> New authentication mode
- 輸入以下資料後按 "Create"
- Name: <自己任意取個名字, 例如 MyDomain>
- Host: <Windows AD 的 IP>
- Port: <Windows AD 的 Port>
- Account: <Windows AD 的 Domain User>
- Password: <上述 Domain User 的密碼>
- Base DN: <Base DN>
- LDAP Filter: <LDAP filter>
- Timeout (in seconds): 若 Windows AD 是在區域網路, 可設定為 30, 若是在別的 Site, 可考慮 60
- On-the-fly user creation: 請勾選, 這樣可以在 User 登入時自動建立帳號, 並自動帶入下面的屬性
- Login attribute: sAMAccountName
- Firstname attribute: displayName
- Lastname attribute: sAMAccountName
- Email attribute: mail
- 按 "Test" 測試設定有無成功
3. 其他設定
Administration --> Settings --> Authentication
- Authentication required: 若不允許 Anonymous (沒有帳號的 User) 使用, 則勾選
- Self-registration: 可否註冊. 我的政策是不行, 所有 User 都吃 Windows AD 帳號並自動建立, 所以此選項 Disable
- Allow users to delete their own account: 當然不行, 請取消勾選
- Allow password reset via email: 當然不行 (密碼是 Windows AD 控制), 請取消勾選
4. 顯示 User 大頭照
有個外掛 (Ldap avatar plugin, 後續會提到) 會很有用, 若 Windows AD 裡面有存大頭照的話, 這個外掛可以帶出來, 並顯示在 Issue 上面
5. 手動建立 User
若 User 就是不願意自行登入 (這樣 Issue 就無法指派給他), Admin 也可以手動在 Redmine 上建立帳號
Administration --> Users --> New user
這裡有個很貼心的地方, 只要在 login 欄位裡面輸入 Windows AD 帳號的前面幾碼, Redmine 就會自動帶出符合條件的帳號給你選擇
文章標籤
全站熱搜
