Инструкция по настройке LDAP-аутентификации в Jenkins

Краткое описание

В статье описывается настройка LDAP-аутентификации в Jenkins, где поставщиком учетных записей является MULTIDIRECTORY.

Для интеграции Jenkins с MULTIDIRECTORY, необходимо создать пользователя, который будет выступать администратором Jenkins и с помощью которого будет осуществляться чтение LDAP каталога, для авторизации пользователей в систему.

Требование к установке

• Установленная служба каталогов MULTIDIRECTORY.
• Развернутая система Jenkins.

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.

Конфигурация ArgoCD

Для настройки LDAP-аутентефикации на сервере, где расположена Jenkins перейдите в настройки, нажав на шестеренку в правом верхнем углу экрана.

В меню настроек, выберите параметр «Security».

В открывшемся меню «Security» измените параметр «Область защиты (realm)» на «LDAP».

Далее нажмите на «Advanced Server Configuration» и настройте подключение к MULTIDIRECTORY.

Описание полей

• Server— адрес LDAP-сервера MULTIDIRECTORY, к которому подключается Jenkins.
• root DN — базовый *Distinguished Name* (DN) каталога, от которого начинается поиск пользователей и групп. 
• Allow blank rootDN — разрешает использовать пустое значение rootDN (обычно не требуется, кроме тестовых конфигураций). 
• User search base — путь (DN), где выполняется поиск учетных записей пользователей. 
• User search filter — LDAP-фильтр, определяющий, по какому полю выполняется поиск пользователя при входе. 
• Group search base — DN-путь, где осуществляется поиск групп пользователей в MULTIDIRECTORY. 

Описание полей

• Group search filter — LDAP-фильтр для поиска групп, если требуется ограничить список найденных групп по определённым критериям. Пример: (objectClass=group) или (cn=*). Если оставить пустым — Jenkins будет использовать стандартный поиск всех групп в указанной базе.
• Group membership — способ определения принадлежности пользователя к группам LDAP. 
• Parse user attribute for list of LDAP groups — использовать атрибут пользователя, в котором уже содержится список групп. 
• Group membership attribute — указывается название этого атрибута, например: memberOf — стандартный атрибут Active Directory, содержащий список DN-групп, в которые входит пользователь. 
• Search for LDAP groups containing user — выполнять обратный поиск: искать группы, в которых пользователь упоминается как член. Используется, если в LDAP отсутствует атрибут memberOf.
• Manager DN — DN сервисной учётной записи, которая используется для аутентификации Jenkins в MULTIDIRECTORY и выполнения поиска пользователей/групп. 
• Manager Password — пароль сервисной учётной записи, указанной выше.
• Display Name LDAP attribute — LDAP-атрибут, из которого Jenkins получает отображаемое имя пользователя. 

описание полей

• Email address LDAP attribute — LDAP-атрибут, из которого Jenkins получает адрес электронной почты пользователя.
• Можно выбрать userPrincipalName вместо атрибута mail, если данное поле, не заполнено в MULTIDIRECTORY.

После внесенных данных, протестируйте аутентификацию, нажав на кнопку «Test LDAP settings».