sonarqube 5.6 & LDAP 2.0 验证失败

Question

我正在测试升级到 sonarqube 5.6 并已安装 ldap 2.0 插件并将相关配置复制到我的测试 5.6 设置中。

相关配置是

sonar.security.realm=LDAP
ldap.url=ldaps://xxxx:636
ldap.bindDn=uid=xxxx,ou=xxxx,dc=xxxx,dc=xxxx
ldap.bindPassword=xxxx
ldap.user.baseDn=dc=xxxx,dc=com
ldap.user.request=(&(objectClass=person)(mail={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

我在 conf/sonar.properties 中有以下设置

sonar.log.level=DEBUG

在启动时我看到

2016.07.26 23:57:29 INFO  web[o.s.p.l.LdapContextFactory] Test LDAP connection on ldaps://xxxx:636: OK
2016.07.26 23:57:29 INFO  web[org.sonar.INFO] Security realm started

如果我尝试登录，我会在登录屏幕上看到“身份验证失败”。 日志文件只说

2016.07.26 23:57:47 DEBUG web[http] GET / | time=67ms
2016.07.26 23:57:47 DEBUG web[http] GET / | time=187ms
2016.07.26 23:57:47 DEBUG web[http] GET /sessions/new | time=89ms
2016.07.26 23:57:53 DEBUG web[http] POST /sessions/login | time=71ms

同样的配置适用于 sonarqube 4.5.7 和 ldap 1.4

欢迎提出如何进一步调查的想法。

Answer 1

您很可能遇到了已知问题SONAR-7770 - 如果在升级期间忘记了 LDAP 配置，则身份验证失败。请注意，针对此问题发出了Upgrade Note：

最具体地说，不要忘记将“conf/sonar.properties”中的相关 SonarQube 插件及其相关配置（包括“sonar.security.realm”和“sonar.security.localUsers”，如果存在）复制到新的 SonarQube 实例，否则迁移后您将被锁定。

因此，即使在升级过程中，此 LDAP 配置也很重要。如果您确实错过了，那么最简单的方法是在正确设置 LDAP 相关配置的情况下重放升级。

上下文

请记住，在升级期间，SonarQube 会更新数据集并将新信息存储在数据库中（基于新功能）。在您的情况下，问题是升级是通过部分配置完成的（未设置 sonar.security.realm 和 sonar.security.localUsers），并且 SonarQube 无法确定用户是否是本地用户，因此将它们视为本地用户默认。本地用户未针对外部身份验证提供程序进行身份验证，而是在本地进行身份验证，这确实是我们在您的日志中看到的内容（显然它失败了，因为密码存在于 LDAP 服务器中，而不是 SonarQube 数据库中）。

Answer 2

我通过手动更新 SonarQube 的 users 数据库表来修复它，假设所有其他用户都由 LDAP 管理，只有 admin 是本地用户：

UPDATE sonarqube_production.users SET user_local = 0, external_identity_provider = 'ldap' WHERE id != 'admin';

Answer 3

对上面 Schakko 查询的小修复，它应该是 login 而不是 id：

UPDATE users SET user_local = 0, external_identity_provider = 'ldap' WHERE login != 'admin';