Jira中如何搭建ldap服务？

JIRA与LDAP集成的工作机制是这样的：

1. 用户信息依旧需要在JIRA中进行管理

2. 只有密码验证在LDAP中完成

3. 在LDAP中不存在的用户依旧可以通过JIRA本身的密码验证机制(OSUser)来进行身份校验

4. 并非全部的LDAP用户都具有JIRA访问权限

配置JIRA与LDAP集成的方法是(以JIRA 4.2.1为例)：

1. 进入Admin(管理) ->System(系统) ->LDAP

2. 在LDAP Host(LDAP主机)中填入LDAP服务器地址

3. 在BaseDN中填入LDAP的根节点名称

4. 在Search Attribute中填入LDAP中包含JIRA登录用户名的属性名称

5. 保存LDAP的修改

6. 进入Admin(管理) ->General Configuration(通用设置)

7. 打开External Password Management(外部密码管理)

8. 保存退出并重启服务

除了可以利用JIRA现有的LDAP集成机制外，也可以考虑Atlassian Crowd这款独立的单点登录工具，Crowd和JIRA的结合非常好。JIRA的用户可完全在Crowd中进行管理。Crowd支持LDAP,Windows Active Directory等多种目录服务器，应用程序上支持JIRA、Confluence、FishEye、Crucible、GoogleApp、SVN等应用。可实现一个账户访问全部应用，并支持单点登录。

目的：linux系统默认使用自己的Unix用户，我们有时需要多台主机都使用同一个用户，这样的还用户管理就比较麻烦。比较简单的解决方法是配置这些linux主机都使用同一个ldap的用户，这样只需要在ldap中进行用户更改即可，不再需要所有主机都进行更改了。

配置客户端：

a、安装ldap客户端：

yum install nss-pam-ldapd pam_ldap -y 

b、图形化配置：

LANG=C authconfig-tui

或者用命令修改：

authconfig --enablemkhomedir --disableldaptls --enableldap --enableldapauth --ldapserver=ldap://110.1.236.51 --ldapbasedn='dc=yinkp,dc=com' --update

cat /etc/sysconfig/authconfig |grep yes 

1、增加/etc/openldap/ldap.conf

2、修改 /etc/nsswitch.conf中sss为ldap

3、 修改/etc/pam.d/system-auth，/etc/pam.d/password-auth

sed -i 's/pam_sss.so/pam_ldap.so/g' /etc/pam.d/system-auth

sed -i 's/pam_sss.so/pam_ldap.so/g' /etc/pam.d/password-auth

4、修改sssd配置文件：

vi /etc/sssd/sssd.conf

5、修改nslcd配置文件：

vi /etc/nslcd.conf

6、重启nslcd/sssd

service nslcd restart

service sssd restart

验证：

切换为系统中没有，ldap中有的用户。如果OK，则成功。

ldapsearch -x -b 'ou=people,dc=yinkp,dc=com'

批量修改主机使用ldap用户：

分发上面已经配置好的主机上的文件到其它linux主机

注：如果没有分发脚本，也可以一个一个文件scp

deploy.sh /etc/sysconfig/authconfig /etc/sysconfig/ all

deploy.sh /etc/openldap/ldap.conf /etc/openldap/ all

deploy.sh /etc/nsswitch.conf /etc/ all

deploy.sh /etc/pam.d/system-auth /etc/pam.d/ all

deploy.sh /etc/sssd/sssd.conf /etc/sssd/ all

deploy.sh /etc/nslcd.conf /etc/ all

重启nslcd/sssd服务

runRemoteCmd.sh "/bin/systemctl restart  nslcd.service &&/bin/systemctl restart  sssd.service" ldap_client

access-list ldap-test permit any any 这里建立一个acl，并将其绑定到outside口（命令略）

最简单的静态NAT转换：

static （dmz,outside） 10.10.1.133 20.0.35.101 netmask 255.255.255.255? 将dmz接口所在网络内的20.0.35.101地址转换为10.10.1.133这样的outside网络地址

static （outside,dmz） 20.0.35.166 10.10.1.1 netmask 255.255.255.255??? 将outside网络的10.10.1.1地址转换为20.0.35.166这样的dmz网络地址

然后在linux pc 尝试ping一下10.10.1.133地址，保证ping通。这样，就保证外网可以正常访问到http服务器的地址了。

配置ldap认证服务器：

我使用的LDAP服务器实际是一台安装了Windows2003的PC，在它之上安装windows2003服务器上的“域控制器”（Active dirctionary）服务，这个“域控制器”也叫做Active dirctionary，是windows2003服务器的一项重要服务，主要用在windows域的控制，所以也叫做域控制器，它是基于LDAP协议的，所以，它就是一台LDAP服务器。除了微软的这个域控制器活动目录之外，常见的LDAP服务器还有SUN、novell等公司的专用LDAP服务器软件，以及开源的基于Linux的OpenLDAP。

具体的安装细节就不介绍了，安装好之后，在域控制器软件中user分支下添加一个用户ldaptest并设置密码。我们之后就将使用这个用户来做认证。

---