SonarQube LDAP 身份验证不起作用

Question

目前，从 SonarQube 5.0.1 连接到 Apache Directory Server 2.0。在 sonar.properties 文件中给出了以下条目：

# LDAP configuration
# General Configuration
sonar.security.realm=LDAP
sonar.security.savePassword=false
ldap.url=ldap://10.53.67.11:30389

# User Configuration
ldap.user.baseDn=o=TechMahindra
ldap.user.request=(&(objectClass=inetOrgPerson)(uid={login}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

# Group Configuration
ldap.group.baseDn=cn=sonar-users,ou=groups,ou=devops,o=TechMahindra
ldap.group.request=(&(objectClass=groupOfNames)(member={dn}))
ldap.group.idAttribute=cn

使用这些条目的身份验证不适用于任何用户。

注意 1：在 Apache Directory Server 中选中“启用访问控制”选项。

注意 2：但是，如果未在 Apache Directory Server 中选中上述“启用访问控制”选项，则身份验证有效。并且，在这种情况下，授权不起作用 - 即 -无论用户是否属于 LDAP 中的 sonar-users 组，所有用户都可以登录 SonarQube。

Answer 1

• “启用访问控制”用于授权访问 LDAP 目录信息树（而不是用于授权应用程序）。我后来发现了这一点。
• 对于应用程序级授权，使用 memberOf 或 isMemberOf 等属性。
• 截至撰写此内容之日，Apache Directory Server 不支持 memberOf 或 isMemberOf 属性。

• 因此，我将 OpenLDAP 用于此目的，并通过将其添加到 slapd.conf 文件中来使用 memberOf 属性（换句话说，覆盖）。

  overlay memberof
  

• 用于认证/授权的修改代码如下：

  # LDAP configuration
  # General Configuration
  sonar.security.realm=LDAP
  sonar.security.savePassword=false
  ldap.url=ldap://10.53.67.8:389/
  ldap.bindDn=o=techmahindra
  ldap.bindPassword=secret
  
  # User Configuration
  ldap.user.baseDn=o=techmahindra
  ldap.user.request=(&(objectClass=inetOrgPerson)(uid={login})(memberOf=cn=sonar-users,ou=groups,ou=devops,o=techmahindra))
  ldap.user.realNameAttribute=cn
  ldap.user.emailAttribute=mail
  
  # Group Configuration
  ldap.group.baseDn=ou=groups,ou=devops,o=techmahindra
  ldap.group.request=(&(objectClass=groupOfNames)(cn=sonar-users)(member={dn}))
  ldap.group.idAttribute=cn