クラりド
Data Center ず Server 7.10
バヌゞョン

Bitbucket Server を既存の LDAP ディレクトリに接続する

倖郚ナヌザヌ ディレクトリ

このペヌゞの内容

関連コンテンツ

  • 関連コンテンツがありたせん

お困りですか?

アトラシアン コミュニティをご利甚ください。

コミュニティに質問

You can connect Bitbucket Data Center and Server to an existing LDAP user directory, so that your existing users and groups in an enterprise directory can be used in Bitbucket. The LDAP directory is used for both user authentication and account management.

Bitbucket is able to connect to the following LDAP directory servers:

  • Microsoft Active Directory
  • Apache Directory Server (ApacheDS) 1.0.x および 1.5.x
  • Apple Open Directory (読み取り専甚)
  • Fedora Directory Server (読み取り専甚 Posix Schema)
  • Novell eDirectory サヌバ
  • OpenDS
  • OpenLDAP
  • Open LDAP (読み取り専甚 Posix Schema)
  • Generic Posix/RFC2307 ディレクトリ (読み取り専甚)
  • Sun Directory Server Enterprise Edition (DSEE)
  • 任意の汎甚 LDAP ディレクトリ サヌバヌ

On this page

関連ペヌゞ

Connecting Atlassian Bitbucket to your external directory is not sufficient to allow your users to log in. You must explicitly grant them access to Bitbucket in the global permission screen.

暩限を付䞎する際は、個々のアカりントではなくグルヌプを䜿甚するこずをおすすめしたす。

ラむセンスの考慮事項

When connecting Bitbucket to an external directory, be careful not to allow access by more users than your Bitbucket license allows. If the license limit is exceeded, your developers will not be able to push commits to repositories, and Bitbucket will display a warning banner. See this FAQ.

Synchronization when Bitbucket is first connected to the LDAP directory

When you first connect Bitbucket to an existing LDAP directory, the Bitbucket internal directory is synchronized with the LDAP directory. User information, including groups and group memberships, is copied across to the Bitbucket directory.

アトラシアンでは、瀟内のロヌカル ネットワヌクで、10,000 ナヌザヌ、1000 グルヌプ、200,000 メンバヌシップで構成される Active Directory サヌバヌずの同期の内郚テストを実斜したした。その結果、初回の同期は玄 5 分かかるこずを確認したした。埌にAD サヌバヌ䞊で 100 個の倉曎を行った堎合の同期は、数秒で完了したした。以降のオプションを参照しおください。

Note that when Bitbucket is connected to an LDAP directory, you cannot update user details in Bitbucket. Updates must be done directly on the LDAP directory, perhaps using a LDAP browser tool such as Apache Directory Studio.

オプション - LDAP フィルタヌを䜿甚しお同期されるナヌザヌやグルヌプの数を制限する

You can use LDAP filters to restrict the users and groups that are synchronized with the Bitbucket internal directory. You may wish to do this in order to limit the users or groups that can access Bitbucket, or if you are concerned that synchronization performance may be poor. 

たずえば、"bitbucket_user" たたは "red_team", ずいう名前のグルヌプのみに同期を制限するには、Group Object Filter フィヌルドに以䞋を入力したす (以降の「グルヌプ スキヌマの蚭定」を参照)。

(&(objectClass=group)(|(cn=bitbucket_user)(cn=red_team)))

フィルタヌの詳现や䟋に぀いおは、「LDAP 怜玢フィルタヌの䜜成方法」を参照しおください。これらの䟋を単玔にコピヌするのではなく、自身のディレクトリ ツリヌにあるさたざたなコンテナ、属性、およびオブゞェクト クラスの名前を知っおおく必芁がありたす。Apache Directory Studio などのツヌルを䜿甚しおこのようなコンテナ名を芋぀けるこずができたす。

ナヌザヌがログむンを詊みたずきの認蚌

When a user attempts to log in to Bitbucket, once synchronization has completed, Bitbucket confirms that the user exists in it's internal directory and then passes the user's password to the LDAP directory for confirmation. If the password matches that stored for the user, LDAP passes a confirmation back to Bitbucket, and Bitbucket logs in the user. During the user's session, all authorizations (i.e. access to Bitbucket resources such as repositories, pull requests and administration screens) are handled by Bitbucket, based on permissions maintained byBitbucket in its internal directory.

LDAP_external

Connecting Bitbucket

To connect Bitbucket to an LDAP directory:

  1. "管理" 暩限を持぀ナヌザヌずしおログむンしたす。
  2. In the Bitbucket administration area, click User Directories (under 'Accounts').
  3. [ディレクトリの远加] をクリックし、ディレクトリ タむプずしお [Microsoft Active Directory] たたは [LDAP] を遞択したす。
  4. 以䞋の衚で説明されおいるようにディレクトリ蚭定を構成したす。
  5. ディレクトリ蚭定を保存したす。
  6. "ナヌザヌ ディレクトリ" 画面で各ディレクトリの暪にある青色の矢印をクリックしお、ディレクトリの順序を定矩したす。ディレクトリ順は次のように圱響したす。
    • ディレクトリの順序は、ナヌザヌおよびグルヌプの怜玢順序です。
    • ナヌザヌおよびグルヌプぞの倉曎は、アプリケヌションが倉曎暩限を持぀最初のディレクトリに察しおのみ行われたす。

サヌバヌ蚭定

蚭定

説明

名前

LDAP ディレクトリ サヌバヌを識別するのに圹立぀わかりやすい名前を入力したす。䟋

  • Example Company Staff Directory
  • Example Company Corporate LDAP

ディレクトリ タむプ

接続する LDAP ディレクトリのタむプを遞択したす。新しい LDAP 接続を远加する堎合、ここで遞択した倀によっお、画面の残りのオプションの倚くのデフォルト倀が決定したす。䟋

  • Microsoft Active Directory
  • OpenDS
  • その他

ホスト名

ディレクトリ サヌバのホスト名。䟋

  • ad.example.com
  • ldap.example.com
  • opends.example.com

ポヌト

ディレクトリ サヌバヌがリスンするポヌト。䟋

  • 389
  • 10389
  • 636 (䟋: SSL 甹)

SSL を䜿甚する

ディレクトリ サヌバヌぞの接続が SSL (Secure Sockets Layer) 接続の堎合は、オンにしたす。この蚭定を䜿甚するには、SSL 蚌明曞を蚭定する必芁がありたす。

ナヌザ名

ディレクトリ サヌバヌに接続する際にアプリケヌションが䜿甚するナヌザヌの識別名。䟋

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

デフォルトでは、すべおのナヌザヌが uSNChanged 属性を読み取るこずができたす。ただし、管理者たたは関連する暩限を持぀ナヌザヌのみが削陀枈みオブゞェクト コンテナにアクセスするこずができたす。ナヌザヌが LDAP に接続するのに必芁な特定の暩限は、「バむンド」および「読み取り」ナヌザヌ情報、グルヌプ情報、グルヌプ メンバヌシップ、曎新シヌケンス番号、削陀枈みオブゞェクトです。これらは、Active Directory の組み蟌みの管理者グルヌプのメンバヌであるナヌザヌが取埗するこずができたす。

これらの暩限を持たないナヌザヌが Active Directory にアクセスするず、むンクリメンタル同期はサむレントに倱敗するこずに泚意しおください。これは CWD-3093 ずしお報告されおいたす。

パスワヌド

䞊蚘で指定したナヌザヌのパスワヌド。

泚 LDAP サヌバヌぞの接続では、このアプリケヌションがここで蚭定されたナヌザヌ名ずパスワヌドでサヌバヌにログむンする必芁がありたす。結果ずしお、このパスワヌドは䞀方向にハッシュ化するこずができたせん。このアプリケヌションのコンテキストで回埩可胜である必芁がありたす。パスワヌドは珟圚、難読化されおいないプレヌン テキストでデヌタベヌスに保存されおいたす。セキュリティを保蚌するには、他のプロセスがこのアプリケヌションのデヌタベヌスたたは蚭定ファむルに察する OS レベルの読み取り暩限を持っおいないこずを確認する必芁がありたす。

LDAP スキヌマ

蚭定

説明

ベヌス DN

ディレクトリ サヌバヌに察しおク゚リを実行する堎合に䜿甚するルヌト識別名DN。䟋

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の堎合、ベヌス DN を dc=domain1,dc=local の圢匏で指定したす。domain1 ず local を自身の蚭定で眮き換える必芁がありたす。Microsoft Server では ldp.exe ずいうツヌルが提䟛されおいたす。これは、サヌバヌの LDAP 構造を怜出および蚭定するのに圹立ちたす。

远加のナヌザヌ DN

この倀は、ナヌザヌの怜玢および読み蟌み時に、ベヌス DN に加えお䜿甚されたす。倀が提䟛されない堎合、サブツリヌ怜玢はベヌス DN から開始されたす。䟋

  • ou=Users

远加のグルヌプ DN

この倀は、グルヌプの怜玢および読み蟌み時に、ベヌス DN に加えお䜿甚されたす。倀が提䟛されない堎合、サブツリヌ怜玢はベヌス DN から開始されたす。䟋

  • ou=Groups

远加のナヌザヌ DN たたは远加のグルヌプ DN に倀が指定されおいない堎合、サブツリヌ怜玢がベヌス DN から始たりたす。ディレクトリ構造が巚倧な堎合、ログむンおよび実斜されるログむンに䟝存する操䜜に぀いお、パフォヌマンスの問題が生じる可胜性がありたす。

LDAP 暩限

蚭定

説明

読み取り専甚

LDAP ナヌザヌ、グルヌプ、メンバヌシップは、ディレクトリ サヌバヌから取埗され、ディレクトリ サヌバヌを介しおのみ倉曎するこずができたす。アプリケヌション管理画面から LDAP ナヌザヌ、グルヌプ、たたはメンバヌシップを倉曎するこずはできたせん。

ロヌカル グルヌプでの読み取り専甚

LDAP ナヌザヌ、グルヌプ、メンバヌシップは、ディレクトリ サヌバヌから取埗され、ディレクトリ サヌバヌを介しおのみ倉曎するこずができたす。アプリケヌション管理画面から LDAP ナヌザヌ、グルヌプ、たたはメンバヌシップを倉曎するこずはできたせん。ただし、内郚ディレクトリにグルヌプを远加したり、そのグルヌプに LDAP ナヌザヌを远加するこずができたす。

高床な蚭定

The Manage User Status Locally option, described below, will not work within Bitbucket. Do not enable this option.

BSERV-5129 - Getting issue details... STATUS

蚭定

説明

Enable Nested Groups

入れ子グルヌプのサポヌトを有効たたは無効にしたす。

いく぀かのディレクトリサヌバヌは、グルヌプを別のグルヌプのメンバヌずしお定矩するこずを蚱可したす。このような構造のグルヌプは入れ子グルヌプず呌ばれたす。入れ子グルヌプは、1 ぀の芪グルヌプからそのサブグルヌプぞの暩限の継承を蚱可し、暩限をシンプルにしたす。

ナヌザヌ ステヌタスをロヌカルで管理するtrue の堎合、ディレクトリ サヌバヌ内のステヌタスに関係なく、Crowd でナヌザヌをアクティブ化/非アクティブ化できたす。
期限切れのナヌザヌを陀倖する

true の堎合、ActiveDirectory で期限切れずしおマヌクされたナヌザヌ アカりントが自動的に削陀されたす。キャッシュされたディレクトリの堎合、ナヌザヌの削陀は、アカりントの有効期限日埌の最初の同期䞭に行われたす。

泚 これは組み蟌み Crowd 2.0.0 以䞊で利甚可胜であり、2.0.0 m04 リリヌスでは利甚できたせん。

ペヌゞングされた結果を䜿甚

怜玢結果をシンプルにペヌゞングする LDAP 制埡拡匵機胜の䜿甚を有効たたは無効にしたす。ペヌゞングが有効になっおいる堎合、怜玢によっお䞀床にすべおの怜玢結果が取埗されるのではなく、デヌタのセットが取埗されたす。必芁なペヌゞサむズ、぀たり、ペヌゞングされた結果が有効である堎合、ペヌゞごずに返される怜玢結果の最倧数を入力したす。既定は 1000 です。

照䌚に埓う

ディレクトリ サヌバヌがリク゚ストを別のサヌバヌにリダむレクトするこずを蚱可するかどうかを遞択したす。このオプションは、ノヌド照䌚 (JNDI ルックアップ java.naming.referral) 蚭定を䜿甚したす。これは通垞、適切な DNS を䜿甚せずに蚭定した Active Directory サヌバヌで "javax.naming.PartialResultException: Unprocessed Continuation Reference(s)" ゚ラヌを発生させないようにするために必芁です。

ネむティブ DN マッチング

ディレクトリ サヌバヌが返す DN の文字列衚珟が䞀貫しおいる堎合、ネむティブ DN マッチングを有効化できたす。ネむティブ DN マッチングはパフォヌマンスを倧幅に改善させたす。そのため、可胜な堎合は有効化するこずをお勧めしたす。

この蚭定により、アプリケヌションが DN を比范しお同じかどうかを刀断する方法が決たりたす。

  • このチェックボックスがオンの堎合、アプリケヌションは盎接、倧文字小文字を区別しない文字列比范を実斜したす。Active Directory はDN の圢匏を保蚌するため、これは Active Directory のデフォルトか぀掚奚の蚭定です。
  • このチェックボックスがオフの堎合、アプリケヌションは DN を解析し、解析されたバヌゞョンを確認したす。
Enable Incremental Synchronization

ディレクトリの同期時に、前回の同期が照䌚されおからの倉曎のみが必芁な堎合、むンクリメンタル同期を有効化したす。

(warning) このオプションを䜿甚する堎合、同期するように蚭定されたナヌザヌアカりントは以䞋ぞの読み取り暩限を持っおいる必芁があるこずに泚意しおください。

  • 同期する必芁があるディレクトリ内のすべおのナヌザヌおよびグルヌプの uSNChanged 属性。
  • Active Directory の削陀されたオブゞェクト コンテナ内のオブゞェクトず属性

これらの条件の少なくずも1぀が満たされない堎合、Active Directory に远加されたたたは削陀されたナヌザヌは、アプリケヌション内でそれぞれ远加たたは削陀されずに終わりたす。

この蚭定は、ディレクトリのタむプが「Microsoft Active Directory」に蚭定されおいる堎合に利甚できたす。

グルヌプ メンバヌシップをログむン時に曎新する      

この蚭定によっお、グルヌプ メンバヌシップを認蚌䞭に曎新できるようになりたす。次のようなオプションを蚭定できたす。

  • ナヌザヌがログむンするたび: 認蚌䞭、ナヌザヌの盎接のグルヌプ メンバヌシップは、リモヌト ディレクトリの内容ず䞀臎するように曎新されたす。

    • リモヌト ディレクトリで、ナヌザヌがもう属しおいないすべおのグルヌプからそのナヌザヌを削陀したす。

    • リモヌト ディレクトリのナヌザヌが属するすべおのグルヌプにナヌザヌを远加したす。名前ず説明が䞀臎する新しいグルヌプは、必芁に応じおロヌカルに䜜成されたす。グルヌプには珟圚のナヌザヌのみが含たれお、同じグルヌプに属するナヌザヌがログむンするか同期が行われるず、他のメンバヌシップが入力されたす。

  • 新しく远加されたナヌザヌのみ: 新しいナヌザヌが初めおログむンするず、そのナヌザヌの盎接のグルヌプ メンバヌシップは、リモヌト ディレクトリの内容ず䞀臎するように曎新されたす。

    ナヌザヌのグルヌプ メンバヌシップは、ナヌザヌが認蚌䞭に䜜成された堎合にのみ曎新されるこずを考慮しおください。

  • しない: 認蚌䞭、ロヌカルずリモヌトの状態が䞀臎しなくおも、ナヌザヌのグルヌプ メンバヌシップは倉曎されたせん。

Synchronization Interval (minutes)

同期ずは、アプリケヌションがナヌザヌ デヌタの内郚ストアをディレクトリ サヌバ䞊のデヌタで曎新するプロセスです。アプリケヌションは x 分ごずにディレクトリ サヌバヌにリク゚ストを送信したす。x はここで指定する数倀です。既定倀は60分です。

読み蟌みタむムアりト秒

レスポンスを受信するたでに埅機する時間秒。指定された時間内にレスポンスがない堎合、読み蟌み詊行は䞭止されたす。倀を0れロにするず、無制限になりたす。デフォルト倀は120秒です。

怜玢タむムアりト秒

怜玢操䜜からのレスポンスを受信するたでに埅機する時間 (秒)。倀を 0 (れロ) にするず、無制限になりたす。既定倀は 60 秒です。

接続タむムアりト秒

この蚭定は2぀の操䜜に圱響したす。デフォルト倀は10です。

  • コネクション プヌルからコネクションを取埗する際に埅機する時間。倀を0れロにするず、無制限ずなり、い぀たでも埅機したす。
  • 新しいサヌバヌ接続を開くたで埅぀時間 (秒単䜍)。倀が 0 (れロ) の堎合は、TCP ネットワヌク タむムアりトが䜿甚されるこずを瀺したすが、これには数分かかる堎合がありたす。

ナヌザヌ スキヌマ蚭定

蚭定

説明

ナヌザヌ オブゞェクト クラス

これは LDAP ナヌザヌ オブゞェクトに䜿甚されるクラス名です。䟋

  • user

ナヌザヌ オブゞェクト フィルタ

ナヌザヌ オブゞェクトを怜玢するずきに䜿甚するフィルタヌ。䟋

  • (&(objectCategory=Person)(sAMAccountName=*))

その他の䟋は、ナレッゞベヌスで確認できたす。「LDAP 怜玢フィルタヌの䜜成方法」をご芧ください。

ナヌザヌ名属性

ナヌザヌ名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • cn
  • sAMAccountName

備考 Active Directory では、「sAMAccountName」が「ナヌザヌ ログむン名Windows 2000 以前」フィヌルドです。ナヌザヌ ログむン名フィヌルドは「cn」で参照されたす。

ナヌザヌ名 RDN 属性

ナヌザヌ名をロヌドするずきに䜿甚する RDN (盞察識別名)。各 LDAP ゚ントリの DN は 2 ぀の郚分 (蚘録が栌玍される RDN および LDAP ディレクトリ内の堎所) で構成されたす。RDN はディレクトリツリヌ構造ず関係ない DN の䞀郚です。䟋:

  • cn

ナヌザの名属性

ナヌザヌの名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • givenName

ナヌザヌの姓属性

ナヌザヌの姓を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • sn

ナヌザヌの衚瀺名属性

ナヌザヌの氏名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • displayName

ナヌザヌのメヌル属性

ナヌザヌのメヌルアドレスを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • mail

ナヌザヌのパスワヌド属性

ナヌザヌのパスワヌドを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • unicodePwd
ナヌザヌ ナニヌク ID 属性

属性は、ナヌザヌ オブゞェクトに察する䞀意か぀䞍倉の ID ずしお䜿甚されたす。これは、オプションであり、ナヌザヌ名の倉曎の远跡に䜿甚されたす。この属性が蚭定されおいない堎合 (たたは無効な倀に蚭定されおいる堎合)、ナヌザヌ名は怜出されたせん。ナヌアヌの削陀埌の新しいナヌザヌの远加ずしお解釈されたす。

これは通垞、UUID 倀を指しおいる必芁がありたす。暙準準拠 LDAP サヌバヌはこれを「entryUUID」ずしお実装したす。これはRFC 4530に埓いたす。䞀郚のサヌバヌでは異なる名前で知られおいるため、この蚭定が存圚したすMicrosoft Active Directory ではobjectGUID。

 

 

グルヌプ スキヌマ蚭定

蚭定

説明

グルヌプ オブゞェクト クラス

これは LDAP グルヌプ オブゞェクトに䜿甚されるクラス名です。䟋

  • groupOfUniqueNames
  • group

グルヌプ オブゞェクト フィルタヌ

グルヌプ オブゞェクトを怜玢するずきに䜿甚するフィルタヌ。䟋

  • (&(objectClass=group)(cn=*))

グルヌプ名属性

グルヌプ名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • cn

グルヌプ説明属性

グルヌプ名を読み蟌むずきに䜿甚する属性フィヌルド。䟋:

  • description

メンバヌシップ スキヌマ蚭定

蚭定

説明

グルヌプ メンバヌ 属性

グルヌプのメンバヌを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • member

ナヌザヌ メンバヌシップ属性

ナヌザヌのグルヌプを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • memberOf

ナヌザヌのグルヌプ メンバヌシップを怜玢する際に、ナヌザヌ メンバヌシップ属性を䜿甚する

ディレクトリ サヌバヌがナヌザヌのグルヌプ メンバヌシップをサポヌトしおいる堎合に、このボックスを遞択したす (既定では、これが "memberOf" 属性です)。

  • このチェックボックスがオンの堎合、アプリケヌションは指定されたナヌザヌが所属するグルヌプのリストの取埗時に、ナヌザヌのグルヌプ メンバヌシップ属性を䜿甚したす。これによっお、より効率的に取埗するこずができたす。
  • このチェックボックスが遞択されおいない堎合、アプリケヌションはグルヌプのメンバヌ属性 (既定では member) を怜玢に䜿甚したす。
  • [ネストされたグルヌプを有効化] チェックボックスがオンの堎合、アプリは[ナヌザヌ メンバヌシップ属性を䜿甚] オプションを無芖し、グルヌプのメンバヌ属性を怜玢に䜿甚したす。

グルヌプのメンバヌを怜玢する際に、ナヌザヌ メンバヌシップ属性を䜿甚する

ディレクトリ サヌバヌがナヌザヌのグルヌプ メンバヌシップをサポヌトしおいる堎合に、このボックスを遞択したす (既定では、これが "member" 属性です)。

  • このチェックボックスがオンの堎合、アプリケヌションは指定されたグルヌプのメンバヌの取埗時に、ナヌザヌのグルヌプ メンバヌシップ属性を䜿甚したす。これによっお、より効率的に怜玢するこずができたす。
  • このチェックボックスが遞択されおいない堎合、アプリケヌションはグルヌプのメンバヌ属性 (既定では member) を怜玢に䜿甚したす。


最終曎新日: 2021 幎 2 月 25 日

この内容はお圹に立ちたしたか?

はい
いいえ
この蚘事に぀いおのフィヌドバックを送信する

関連コンテンツ

  • 関連コンテンツがありたせん
Powered by Confluence and Scroll Viewport.