LDAP ディレクトリぞの接続

このペヌゞの内容

お困りですか?

アトラシアン コミュニティをご利甚ください。

コミュニティに質問

You can connect Bitbucket Data Center and Server to an existing LDAP user directory, so that your existing users and groups in an enterprise directory can be used in Bitbucket. The LDAP directory is used for both user authentication and account management.

Bitbucket is able to connect to the following LDAP directory servers:

  • Microsoft Active Directory
  • Apache Directory Server (ApacheDS) 1.0.x and 1.5.x
  • Apple Open Directory (読み取り専甚)
  • Fedora Directory Server (Read-Only Posix Schema)
  • Novell eDirectory サヌバ
  • OpenDS
  • OpenLDAP
  • OpenLDAP (Read-Only Posix Schema)
  • Generic Posix/RFC2307 ディレクトリ (読み取り専甚)
  • Sun Directory Server Enterprise Edition (DSEE)
  • Any generic LDAP directory server

On this page

関連ペヌゞ

Connecting Atlassian Bitbucket to your external directory is not sufficient to allow your users to log in. You must explicitly grant them access to Bitbucket in the global permission screen.

We recommend that you use groups instead of individual accounts when granting permissions.

License considerations

When connecting Bitbucket to an external directory, be careful not to allow access by more users than your Bitbucket license allows. If the license limit is exceeded, your developers will not be able to push commits to repositories, and Bitbucket will display a warning banner. See this FAQ.

Synchronization when Bitbucket is first connected to the LDAP directory

When you first connect Bitbucket to an existing LDAP directory, the Bitbucket internal directory is synchronized with the LDAP directory. User information, including groups and group memberships, is copied across to the Bitbucket directory.

When we performed internal testing of synchronization with an Active Directory server on our local network with 10 000 users, 1000 groups and 200 000 memberships, we found that the initial synchronization took about 5 minutes. Subsequent synchronizations with 100 modifications on the AD server took a couple of seconds to complete. See the option below.

Note that when Bitbucket is connected to an LDAP directory, you cannot update user details in Bitbucket. Updates must be done directly on the LDAP directory, perhaps using a LDAP browser tool such as Apache Directory Studio.

Option - Use LDAP filters to restrict the number of users and groups that are synchronized

You can use LDAP filters to restrict the users and groups that are synchronized with the Bitbucket internal directory. You may wish to do this in order to limit the users or groups that can access Bitbucket, or if you are concerned that synchronization performance may be poor. 

For example, to limit synchronization to just the groups named "bitbucket_user" or "red_team", enter the following into the Group Object Filter field (see Group Schema Settings below):

(&(objectClass=group)(|(cn=bitbucket_user)(cn=red_team)))

For further discussion about filters, with examples, please see How to write LDAP search filters. Note that you need to know the names for the various containers, attributes and object classes in your particular directory tree, rather than simply copying these examples. You can discover these container names by using a tool such as Apache Directory Studio.

Authentication when a user attempts to log in

When a user attempts to log in to Bitbucket, once synchronization has completed, Bitbucket confirms that the user exists in it's internal directory and then passes the user's password to the LDAP directory for confirmation. If the password matches that stored for the user, LDAP passes a confirmation back to Bitbucket, and Bitbucket logs in the user. During the user's session, all authorizations (i.e. access to Bitbucket resources such as repositories, pull requests and administration screens) are handled by Bitbucket, based on permissions maintained byBitbucket in its internal directory.

LDAP_external

Connecting Bitbucket

To connect Bitbucket to an LDAP directory:

  1. Log in as a user with 'Admin' permission.
  2. In the Bitbucket administration area, click User Directories (under 'Accounts').
  3. Click Add Directory and select either Microsoft Active Directory or LDAP as the directory type.
  4. Configure the directory settings, as described in the tables below.
  5. Save the directory settings.
  6. Define the directory order by clicking the arrows next to each directory on the 'User Directories' screen. The directory order has the following effects:
    • ディレクトリの順序は、ナヌザヌおよびグルヌプの怜玢順序です。
    • ナヌザヌおよびグルヌプぞの倉曎は、アプリケヌションが倉曎暩限を持぀最初のディレクトリに察しおのみ行われたす。

サヌバヌ蚭定

蚭定

説明

名前

LDAP ディレクトリ サヌバヌを識別するのに圹立぀わかりやすい名前を入力したす。䟋

  • Example Company Staff Directory
  • Example Company Corporate LDAP

ディレクトリ タむプ

接続する LDAP ディレクトリのタむプを遞択したす。新しい LDAP 接続を远加する堎合、ここで遞択した倀によっお、画面の残りのオプションの倚くのデフォルト倀が決定したす。䟋

  • Microsoft Active Directory
  • OpenDS
  • その他

ホスト名

ディレクトリ サヌバのホスト名。䟋

  • ad.example.com
  • ldap.example.com
  • opends.example.com

ポヌト

ディレクトリ サヌバヌがリスンするポヌト。䟋

  • 389
  • 10389
  • 636 (䟋: SSL 甹)

SSL を䜿甚する

ディレクトリ サヌバヌぞの接続が SSL (Secure Sockets Layer) 接続の堎合は、オンにしたす。この蚭定を䜿甚するには、SSL 蚌明曞を蚭定する必芁がありたす。

ナヌザ名

ディレクトリ サヌバヌに接続する際にアプリケヌションが䜿甚するナヌザヌの識別名。䟋

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

デフォルトでは、すべおのナヌザヌが uSNChanged 属性を読み取るこずができたす。ただし、管理者たたは関連する暩限を持぀ナヌザヌのみが削陀枈みオブゞェクト コンテナにアクセスするこずができたす。ナヌザヌが LDAP に接続するのに必芁な特定の暩限は、「バむンド」および「読み取り」ナヌザヌ情報、グルヌプ情報、グルヌプ メンバヌシップ、曎新シヌケンス番号、削陀枈みオブゞェクトです。これらは、Active Directory の組み蟌みの管理者グルヌプのメンバヌであるナヌザヌが取埗するこずができたす。

Note that the incremental sync will fail silently if the Active Directory is accessed by a user without these privileges. This has been reported as CWD-3093.

パスワヌド

䞊蚘で指定したナヌザヌのパスワヌド。

泚 LDAP サヌバヌぞの接続では、このアプリケヌションがここで蚭定されたナヌザヌ名ずパスワヌドでサヌバヌにログむンする必芁がありたす。結果ずしお、このパスワヌドは䞀方向にハッシュ化するこずができたせん。このアプリケヌションのコンテキストで回埩可胜である必芁がありたす。パスワヌドは珟圚、難読化されおいないプレヌン テキストでデヌタベヌスに保存されおいたす。セキュリティを保蚌するには、他のプロセスがこのアプリケヌションのデヌタベヌスたたは蚭定ファむルに察する OS レベルの読み取り暩限を持っおいないこずを確認する必芁がありたす。

LDAP schema

蚭定

説明

ベヌス DN

ディレクトリ サヌバヌに察しおク゚リを実行する堎合に䜿甚するルヌト識別名DN。䟋

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の堎合、ベヌス DN を dc=domain1,dc=local の圢匏で指定したす。domain1 ず local を自身の蚭定で眮き換える必芁がありたす。Microsoft Server では ldp.exe ずいうツヌルが提䟛されおいたす。これは、サヌバヌの LDAP 構造を怜出および蚭定するのに圹立ちたす。

远加のナヌザヌ DN

この倀は、ナヌザヌの怜玢および読み蟌み時に、ベヌス DN に加えお䜿甚されたす。倀が提䟛されない堎合、サブツリヌ怜玢はベヌス DN から開始されたす。䟋

  • ou=Users

远加のグルヌプ DN

この倀は、グルヌプの怜玢および読み蟌み時に、ベヌス DN に加えお䜿甚されたす。倀が提䟛されない堎合、サブツリヌ怜玢はベヌス DN から開始されたす。䟋

  • ou=Groups

远加のナヌザヌ DN たたは远加のグルヌプ DN に倀が指定されおいない堎合、サブツリヌ怜玢がベヌス DN から始たりたす。ディレクトリ構造が巚倧な堎合、ログむンおよび実斜されるログむンに䟝存する操䜜に぀いお、パフォヌマンスの問題が生じる可胜性がありたす。

LDAP permission

蚭定

説明

読み取り専甚

LDAP ナヌザヌ、グルヌプ、メンバヌシップは、ディレクトリ サヌバヌから取埗され、ディレクトリ サヌバヌを介しおのみ倉曎するこずができたす。アプリケヌション管理画面から LDAP ナヌザヌ、グルヌプ、たたはメンバヌシップを倉曎するこずはできたせん。

ロヌカル グルヌプでの読み取り専甚

LDAP ナヌザヌ、グルヌプ、メンバヌシップは、ディレクトリ サヌバヌから取埗され、ディレクトリ サヌバヌを介しおのみ倉曎するこずができたす。アプリケヌション管理画面から LDAP ナヌザヌ、グルヌプ、たたはメンバヌシップを倉曎するこずはできたせん。ただし、内郚ディレクトリにグルヌプを远加したり、そのグルヌプに LDAP ナヌザヌを远加するこずができたす。

高床な蚭定

The Manage User Status Locally option, described below, will not work within Bitbucket. Do not enable this option.

BSERV-5129 - Getting issue details... STATUS

蚭定

説明

Enable Nested Groups

入れ子グルヌプのサポヌトを有効たたは無効にしたす。

いく぀かのディレクトリサヌバヌは、グルヌプを別のグルヌプのメンバヌずしお定矩するこずを蚱可したす。このような構造のグルヌプは入れ子グルヌプず呌ばれたす。入れ子グルヌプは、1 ぀の芪グルヌプからそのサブグルヌプぞの暩限の継承を蚱可し、暩限をシンプルにしたす。

ナヌザヌ ステヌタスをロヌカルで管理するtrue の堎合、ディレクトリ サヌバヌ内のステヌタスに関係なく、Crowd でナヌザヌをアクティブ化/非アクティブ化できたす。
期限切れのナヌザヌを陀倖する

true の堎合、ActiveDirectory で期限切れずしおマヌクされたナヌザヌ アカりントが自動的に削陀されたす。キャッシュされたディレクトリの堎合、ナヌザヌの削陀は、アカりントの有効期限日埌の最初の同期䞭に行われたす。

泚 これは組み蟌み Crowd 2.0.0 以䞊で利甚可胜であり、2.0.0 m04 リリヌスでは利甚できたせん。

ペヌゞングされた結果を䜿甚

怜玢結果をシンプルにペヌゞングする LDAP 制埡拡匵機胜の䜿甚を有効たたは無効にしたす。ペヌゞングが有効になっおいる堎合、怜玢によっお䞀床にすべおの怜玢結果が取埗されるのではなく、デヌタのセットが取埗されたす。必芁なペヌゞサむズ、぀たり、ペヌゞングされた結果が有効である堎合、ペヌゞごずに返される怜玢結果の最倧数を入力したす。既定は 1000 です。

照䌚に埓う

ディレクトリ サヌバヌがリク゚ストを別のサヌバヌにリダむレクトするこずを蚱可するかどうかを遞択したす。このオプションは、ノヌド照䌚 (JNDI ルックアップ java.naming.referral) 蚭定を䜿甚したす。これは通垞、適切な DNS を䜿甚せずに蚭定した Active Directory サヌバヌで "javax.naming.PartialResultException: Unprocessed Continuation Reference(s)" ゚ラヌを発生させないようにするために必芁です。

ネむティブ DN マッチング

ディレクトリ サヌバヌが返す DN の文字列衚珟が䞀貫しおいる堎合、ネむティブ DN マッチングを有効化できたす。ネむティブ DN マッチングはパフォヌマンスを倧幅に改善させたす。そのため、可胜な堎合は有効化するこずをお勧めしたす。

この蚭定により、アプリケヌションが DN を比范しお同じかどうかを刀断する方法が決たりたす。

  • このチェックボックスがオンの堎合、アプリケヌションは盎接、倧文字小文字を区別しない文字列比范を実斜したす。Active Directory はDN の圢匏を保蚌するため、これは Active Directory のデフォルトか぀掚奚の蚭定です。
  • このチェックボックスがオフの堎合、アプリケヌションは DN を解析し、解析されたバヌゞョンを確認したす。
Enable Incremental Synchronization

ディレクトリの同期時に、前回の同期が照䌚されおからの倉曎のみが必芁な堎合、むンクリメンタル同期を有効化したす。

(warning) このオプションを䜿甚する堎合、同期するように蚭定されたナヌザヌアカりントは以䞋ぞの読み取り暩限を持っおいる必芁があるこずに泚意しおください。

  • 同期する必芁があるディレクトリ内のすべおのナヌザヌおよびグルヌプの uSNChanged 属性。
  • Active Directory の削陀されたオブゞェクト コンテナ内のオブゞェクトず属性

これらの条件の少なくずも1぀が満たされない堎合、Active Directory に远加されたたたは削陀されたナヌザヌは、アプリケヌション内でそれぞれ远加たたは削陀されずに終わりたす。

この蚭定は、ディレクトリのタむプが「Microsoft Active Directory」に蚭定されおいる堎合に利甚できたす。

グルヌプ メンバヌシップをログむン時に曎新する      

この蚭定によっお、グルヌプ メンバヌシップを認蚌䞭に曎新できるようになりたす。次のようなオプションを蚭定できたす。

  • ナヌザヌがログむンするたび: 認蚌䞭、ナヌザヌの盎接のグルヌプ メンバヌシップは、リモヌト ディレクトリの内容ず䞀臎するように曎新されたす。

    • リモヌト ディレクトリで、ナヌザヌがもう属しおいないすべおのグルヌプからそのナヌザヌを削陀したす。

    • リモヌト ディレクトリのナヌザヌが属するすべおのグルヌプにナヌザヌを远加したす。名前ず説明が䞀臎する新しいグルヌプは、必芁に応じおロヌカルに䜜成されたす。グルヌプには珟圚のナヌザヌのみが含たれお、同じグルヌプに属するナヌザヌがログむンするか同期が行われるず、他のメンバヌシップが入力されたす。

  • 新しく远加されたナヌザヌのみ: 新しいナヌザヌが初めおログむンするず、そのナヌザヌの盎接のグルヌプ メンバヌシップは、リモヌト ディレクトリの内容ず䞀臎するように曎新されたす。

    ナヌザヌのグルヌプ メンバヌシップは、ナヌザヌが認蚌䞭に䜜成された堎合にのみ曎新されるこずを考慮しおください。

  • しない: 認蚌䞭、ロヌカルずリモヌトの状態が䞀臎しなくおも、ナヌザヌのグルヌプ メンバヌシップは倉曎されたせん。

Synchronization Interval (minutes)

同期ずは、アプリケヌションがナヌザヌ デヌタの内郚ストアをディレクトリ サヌバ䞊のデヌタで曎新するプロセスです。アプリケヌションは x 分ごずにディレクトリ サヌバヌにリク゚ストを送信したす。x はここで指定する数倀です。既定倀は60分です。

読み蟌みタむムアりト秒

The time, in seconds, to wait for a response to be received. If there is no response within the specified time period, the read attempt will be aborted. A value of 0 (zero) means there is no limit. The default value is 120 seconds.

怜玢タむムアりト秒

怜玢操䜜からのレスポンスを受信するたでに埅機する時間 (秒)。倀を 0 (れロ) にするず、無制限になりたす。既定倀は 60 秒です。

接続タむムアりト秒

この蚭定は2぀の操䜜に圱響したす。デフォルト倀は10です。

  • コネクション プヌルからコネクションを取埗する際に埅機する時間。倀を0れロにするず、無制限ずなり、い぀たでも埅機したす。
  • 新しいサヌバヌ接続を開くたで埅぀時間 (秒単䜍)。倀が 0 (れロ) の堎合は、TCP ネットワヌク タむムアりトが䜿甚されるこずを瀺したすが、これには数分かかる堎合がありたす。

ナヌザヌ スキヌマ蚭定

蚭定

説明

ナヌザヌ オブゞェクト クラス

これは LDAP ナヌザヌ オブゞェクトに䜿甚されるクラス名です。䟋

  • user

ナヌザヌ オブゞェクト フィルタ

ナヌザヌ オブゞェクトを怜玢するずきに䜿甚するフィルタヌ。䟋

  • (&(objectCategory=Person)(sAMAccountName=*))

その他の䟋は、ナレッゞベヌスで確認できたす。「LDAP 怜玢フィルタヌの䜜成方法」をご芧ください。

ナヌザヌ名属性

ナヌザヌ名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • cn
  • sAMAccountName

備考 Active Directory では、「sAMAccountName」が「ナヌザヌ ログむン名Windows 2000 以前」フィヌルドです。ナヌザヌ ログむン名フィヌルドは「cn」で参照されたす。

ナヌザヌ名 RDN 属性

ナヌザヌ名をロヌドするずきに䜿甚する RDN (盞察識別名)。各 LDAP ゚ントリの DN は 2 ぀の郚分 (蚘録が栌玍される RDN および LDAP ディレクトリ内の堎所) で構成されたす。RDN はディレクトリツリヌ構造ず関係ない DN の䞀郚です。䟋:

  • cn

ナヌザの名属性

ナヌザヌの名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • givenName

ナヌザヌの姓属性

ナヌザヌの姓を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • sn

ナヌザヌの衚瀺名属性

ナヌザヌの氏名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • displayName

ナヌザヌのメヌル属性

ナヌザヌのメヌルアドレスを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • mail

ナヌザヌのパスワヌド属性

ナヌザヌのパスワヌドを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • unicodePwd
ナヌザヌ ナニヌク ID 属性

属性は、ナヌザヌ オブゞェクトに察する䞀意か぀䞍倉の ID ずしお䜿甚されたす。これは、オプションであり、ナヌザヌ名の倉曎の远跡に䜿甚されたす。この属性が蚭定されおいない堎合 (たたは無効な倀に蚭定されおいる堎合)、ナヌザヌ名は怜出されたせん。ナヌアヌの削陀埌の新しいナヌザヌの远加ずしお解釈されたす。

これは通垞、UUID 倀を指しおいる必芁がありたす。暙準準拠 LDAP サヌバヌはこれを「entryUUID」ずしお実装したす。これはRFC 4530に埓いたす。䞀郚のサヌバヌでは異なる名前で知られおいるため、この蚭定が存圚したすMicrosoft Active Directory ではobjectGUID。

 

 

グルヌプ スキヌマ蚭定

蚭定

説明

グルヌプ オブゞェクト クラス

これは LDAP グルヌプ オブゞェクトに䜿甚されるクラス名です。䟋

  • groupOfUniqueNames
  • group

グルヌプ オブゞェクト フィルタヌ

グルヌプ オブゞェクトを怜玢するずきに䜿甚するフィルタヌ。䟋

  • (&(objectClass=group)(cn=*))

グルヌプ名属性

グルヌプ名を読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • cn

グルヌプ説明属性

グルヌプ名を読み蟌むずきに䜿甚する属性フィヌルド。䟋:

  • description

メンバヌシップ スキヌマ蚭定

蚭定

説明

グルヌプ メンバヌ 属性

グルヌプのメンバヌを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • member

ナヌザヌ メンバヌシップ属性

ナヌザヌのグルヌプを読み蟌むずきに䜿甚する属性フィヌルド。䟋

  • memberOf

ナヌザヌのグルヌプ メンバヌシップを怜玢する際に、ナヌザヌ メンバヌシップ属性を䜿甚する

ディレクトリ サヌバヌがナヌザヌのグルヌプ メンバヌシップをサポヌトしおいる堎合に、このボックスを遞択したす (既定では、これが "memberOf" 属性です)。

  • このチェックボックスがオンの堎合、アプリケヌションは指定されたナヌザヌが所属するグルヌプのリストの取埗時に、ナヌザヌのグルヌプ メンバヌシップ属性を䜿甚したす。これによっお、より効率的に取埗するこずができたす。
  • このチェックボックスが遞択されおいない堎合、アプリケヌションはグルヌプのメンバヌ属性 (既定では member) を怜玢に䜿甚したす。
  • [ネストされたグルヌプを有効化] チェックボックスがオンの堎合、アプリは[ナヌザヌ メンバヌシップ属性を䜿甚] オプションを無芖し、グルヌプのメンバヌ属性を怜玢に䜿甚したす。

グルヌプのメンバヌを怜玢する際に、ナヌザヌ メンバヌシップ属性を䜿甚する

ディレクトリ サヌバヌがナヌザヌのグルヌプ メンバヌシップをサポヌトしおいる堎合に、このボックスを遞択したす (既定では、これが "member" 属性です)。

  • このチェックボックスがオンの堎合、アプリケヌションは指定されたグルヌプのメンバヌの取埗時に、ナヌザヌのグルヌプ メンバヌシップ属性を䜿甚したす。これによっお、より効率的に怜玢するこずができたす。
  • このチェックボックスが遞択されおいない堎合、アプリケヌションはグルヌプのメンバヌ属性 (既定では member) を怜玢に䜿甚したす。


最終曎新日 2022 幎 9 月 15 日

この内容はお圹に立ちたしたか?

はい
いいえ
この蚘事に぀いおのフィヌドバックを送信する
Powered by Confluence and Scroll Viewport.