【原创】Jira设置Windows AD为用户目录

发布于 2018-07-30  1921 次阅读


场景:

我到公司的时候,公司已经使用Jira应用了,但是当时Jira账号的认证目录用的是Linux下的OpenLdap账号,当时人员少,使用起来没有太大的问题。随着公司的发展,现在通过Ldap管理账户,比较麻烦,没有图形化界面,管理成本相对高。

随着公司的发展,为了更多的系统接入和账号便利性管理,引入了Windows 下的AD账号系统,这个账号系统是一个成熟的商业产品,同时是图形化界面管理,上手快,可操纵性强。

Jira账号由原来的OpenLDAP提供认证支持,现在为了内部账号统一,计划把Jira账号认证切换到Windows的AD账号。

问题:

Jira通过admin账号在用户管理里配置了【内部Ldap认证】,用户目录的配置页面没问题,如下图:但是当用户去登陆时,提示“你没有权限登录JIRA”。

解决方法:

为了解决这个问题,把官方的操作手册有关账户、组、应用权限、用户目录部分全部过了一遍,捋清楚了各自之间的关系,如果捋不清楚的话,在权限控制和账号认证一块,很容易出现配置正确,但是无法正确认证登录用户或者访问应有的资源。

梳理如下:

 

第一步:建立AD账户和相应的群组

在Windows AD中创建一个组,如:Jira_users,然后把需要登录Jira的AD账号,添加为此组成员。

第二步:配置Jira的认证目录

以管理员身份登录Jira,进入【设置】——【用户管理】——【用户目录】,点击【添加目录】,此时显示如下图:
在此,我要解释一下这几个选项都有什么用处,这里也有采坑。不感兴趣者可以直接跳过灰色部分。

1、Microsoft 活动目录

是配置Windows的AD账号活动目录的,但是我们不选择这个选项,原因:配置此选项,Jira系统会把Windows目录下的所有账户都同步到Jira用户库,这些用户都被视为活跃用户,如果你的Jira是买的正版,肯定有用户的上限,一旦同步过来的账户超过了上线,超过上限的用户就无法登录Jira,提示用户数达到上限。如果你是破解版的Jira,建议配置这个,方便用户同步和认证。如果是正版用户,推荐配置第三个选项【内部LDAP认证】,原因看下文。

2、LDAP

此配置如上一样的用户同步模式,看自己是否正版用户,自行抉择。

3、内部LDAP认证

重点来了,这个选项的配置的好处是:被加到用户组Jira_users的用户,不会全部同步到Jira用户库中,只有登陆到Jira的用户才会被记录到Jira的用户库,这样就减少了授权用户的资源浪费,因为大多数互联网公司,肯定是使用Jira的用户不到公司总数的1/4,要是选择第1、2种方式,是资源的浪费,不建议。

4、5、配置不做介绍,因为没用过,不过理解的应该是Jira公司自己提供的认证系统。

我们选择【内部LDAP认证】,然后就会弹出一个配置页面,如下图:

 

    

然后点击【测试设置】,提示如下:说明配置正确,没有问题。再点击【测试并保存】,如果正常返回到【用户管理】页面,说明第二步配置正确完成。

第三步:给用户组分配权限

点击当前页面上侧的【系统】,再点击左侧【安全】下的【全局权限】,点击最下边【添加权限】,【权限】选择“JIRA 管理员”,用户组选择“Jira_users”,【小提示】此处可以直接在用户组后边的选择框里输入你要找的组,然后点击【添加】。

点击当前页面上侧【应用程序】,然后点击【应用程序访问权】,在最下边的选择框【选择组】中,输入你的组“Jira_users”,把组添加“JIRA Software”权限,此权限可以授权用户能够能录Jira。

 

到此Jira的用户目录配置完成,也可以正确登录Jira,并可以有权访问所有的项目和应用程序。如果有其他问题,可以加入我的QQ群或者知识星球:45959491。