QA #1155
未完了Redmineに登録するAD用アカウントを、通常のAD上ユーザで運用したい。(パスワード期限切の再設定作業を回避)
0%
説明
■現象/要望¶
Redmineに登録するAD用アカウントを、通常のAD上ユーザで運用したい場合がある。
RedmineはActiveDirectory(AD)上のユーザを利用できるが、
AD上ユーザ情報へのアクセスには、そのAD上で有効なアカウントが必要。
(認証無しでアクセス可能にすることは、セキュリテイ対策上通常あり得ない)
ADアクセス用のアカウントには、パスワード無期限のシステムアカウントを別途作成し利用する場合が多いが、
発行済の通常のユーザアカウントで運用したい場合もある。
AD上の通常のユーザアカウントには、パスワードの有効期限が設定されているため、
Redmine管理者はADアクセス用アカウントのパスワードも同時に変更する必要があり面倒である。
情報入手経緯
https://twitter.com/code_air_edge/status/1294608813933264898
■解決策¶
Redmineには、上記のADアクセス用のアカウントを設定せず、
実際にログインするユーザのID/PASSをそのままAD側に流して認証する機能がある。
この機能を利用すれば、システムアカウントの発行申請などを行わずとも、Redmine上でAD上ユーザIDを利用して運用できる。(Redmine内での定期的パスワード変更不要)
■設定方法(通常のLDAP設定との差異)
管理 -> LDAP認証 にて、対象のLDAP設定を選択、
アカウント $login@COMPANY.DOMAIN.NAME パスワード 入力無
を設定する。他項目は通常と同じ。
例:ADドメインが、unofficial-redmine.orgだった場合
アカウント部分には、 $login@unofficial-redmine.org を設定する。
本家チケット
LDAP - authenticate as user
https://redmine.org/issues/1913
(Redmine1.4で追加された機能だが、過去に取り上げられた事は殆どない。)
マニュアル
LDAP認証 Dynamic Bind Accountの項目
http://guide.redmine.jp/RedmineLDAP/
Dynamic Bind Account The above setup would need a special account on the directory server which Redmine uses to pre-authenticate. It is possible to use the keyword $login in the account field which then would be replaced by the current login. The password can be left empty in this case, for example: Account: $login@COMPANY.DOMAIN.NAME or Account: company\$login
■対応状況¶
Redmineの標準機能で対応可能だが、ほとんど知られていない。
■補足¶
情報入手経緯
https://twitter.com/code_air_edge/status/1294608813933264898
そんな機能があるとは全く知らず、議論は平行線を辿ったが、
役に立つ人もいる様なので本エントリ作成。