Sichere LDAP-Verbindungen (LDAPS) aktivieren

Wenn Ihr LDAP-Server LDAP over SSL (LDAPS) unterstützt, können Sie die LDAP-Domäneneinträge von Build Forge auch für LDAPS konfigurieren. Standardmäßig ist Strict SSL konfiguriert, d. h., es ist eine Serverzertifizierung erforderlich.
  1. Erstellen Sie in Build Forge einen LDAP-Domäneneintrag.
  2. Legen Sie für Protokoll die Einstellung "LDAPS" fest. Dadurch wird ein Verfahren von LDAPS aktiviert, bei dem nur eine Verschlüsselung verwendet wird.
  3. Legen Sie Host auf den vollständig qualifizierten Domänennamen und den SSL-Port Ihres LDAP-Servers fest. Für Strict LDAPS ist standardmäßig Port 636 definiert. Beispiel: myldap.mycompany.com:636.
  4. Rufen Sie ein Unterzeichnerzertifikat vom LDAP-Server ab und fügen Sie es zum Build Forge-Truststore hinzu. Für ausgehende LDAP-Verbindungen sind in Verwaltung > Sicherheit standardmäßig die folgenden Einstellungen konfiguriert:
    • Anzeige "SSL": Ausgehende SSL-Standard-JSSE
    • Anzeige "Keystore": Standard-JSSE-Truststore. Für diesen Truststore wird standardmäßig die Datei <bf-installationsverzeichnis>/keystore/buildForgeTrustStore.p12 verwendet. Speichern Sie das Unterzeichnerzertifikat in diesem Truststore.
  5. Starten Sie Build Forge erneut.
  6. Rufen Sie Verwaltung > Sicherheit auf und wählen Sie Ihre sichere LDAP-Konfiguration aus.
  7. Klicken Sie auf Verbindung testen.
Anmerkung: Standardmäßig ist in Build Forge für LDAP Strict SSL konfiguriert, d. h., bei dieser Konfiguration muss die Gültigkeit des Serverzertifikats geprüft werden. Gehen Sie folgendermaßen vor, wenn Sie für LDAP kein Strict SSL verwenden möchten:
  1. Legen Sie die Tomcat-Systemeigenschaft-Dcom.buildforge.services.server.ldap.strict=false in der Umgebungsvariablen JAVA_OPTS fest. Diese Variable wird von Tomcat-Scripts gelesen. Alle darin angegebenen Systemeigenschaften werden auf den Tomcat-Prozess angewendet.
  2. Starten Sie Build Forge erneut.

Bei dieser Konfiguration brauchen Sie das LDAP-Serverzertifikat nicht zum Build Forge-Truststore hinzuzufügen. Diese Konfiguration ist jedoch eine weniger sichere Implementierung des SSL-Protokolls, da die Identität des LDAP-Servers von Build Forge bei der Kommunikation nicht überprüft wird.


Feedback