BaseDN と FQDN の不一致により LDAP のネスト グループが失敗する
症状
適切な構成を行い、LDAP で適切にセットアップしているにもかかわらず、ネスト グループのメンバーシップが Confluence に反映されない。
診断
Compare the LDIF Exports of the groups and users involved with your Directory Configuration Summary from Confluence Admin >> User Directories >> Directory Configuration Summary
. Make sure that the LDAP attributes are properly mapped, especially the membership, username and group name attributes. Ensure that the Nested Groups option is turned on. If none of these work, enable DEBUG logging for all com.atlassian.crowd, com.atlassian.crowd.directory and com.atlassian.crowd.embedded classes in Confluence Admin >> Logging and Profiling
. See Configuring Logging.
その後、ディレクトリの再同期を試みます。同期が完了したらログを開き、次のものを探します。
2012-06-18 18:27:27,424 DEBUG [scheduler_Worker-10] [atlassian.crowd.directory.SpringLDAPConnector] findEntityByDN Entity DN <cn=exampleGroup,dc=Example,dc=com> is outside the entity base DN subtree scope <dc=example,dc=com>
原因
Confluence Admin >> User Directories
でディレクトリ構成で構成されたベース DN と、実際のグループの FQDN (LDIF エクスポートに基づく) に、大文字 / 小文字の不一致があります。
上記の例では、グループの FQDN は cn=exampleGroup,dc=Example,dc=com
ですが、構成されたベース DN は dc=example,dc=com
です (FQDN の大文字の "E" がベース DN では "e" になっています: dc=Example,dc=com
と dc=example,dc=com
)。
ソリューション
2 つの解決方法があります。
- ディレクトリ構成 (
Confluence Admin >> User Directories >> edit the directory >> Advanced Settings
) で "Naive DN Matching" を無効化する
または - ディレクトリ構成でベース DN を変更し、グループの DN の文字に一致するようにする (上記の例の場合はベース DN を
dc=Example,dc=Com
にする)