Redmineは、会社のすべての従業員が働く単一の情報環境として使用しています。 同じパスワードを2回入力するのは常に不便です。 したがって、ドメインを介した透過認証を構成しました。
透過的な認証
まず、Redmine自体には、LDAPを介した承認の素晴らしい機会があります(Active DirectoryはLDAPのアドオンです)。 少数のフィールドに入力することにより、ドメイン内のユーザーを認証する機会をすばやく得ることができ、その場でユーザーを作成することもできます。 この機能により、管理者が新しいユーザーを開始する必要がなくなります。
しかし、問題は、最初に会社に来た平均的なユーザーが、「どのパスワードを入力する必要がありますか?」という質問をすぐに出すことです。 この質問は、原則として、専門家の影響を遅らせます。 そのため、小さなプラグイン(Redmineのネイティブ認証メカニズムのアドオン) -SSO(シングルサインオン)を作成しました 。
プラグインの主な機能は、サーバー変数からユーザーのログインを取得し、このログインがRedmineユーザーデータベースと一致する場合、ユーザーを透過的に認証または作成し、ログインが見つからなかった場合に認証することです。
したがって、すべての新しいユーザーは、ユーザー名とパスワードを入力する必要がなくなります。 デスクトップでショートカットを開くだけで、すぐに企業環境にアクセスできます。
サーバー側での構成方法
実際に許可されたユーザーのログインがサーバー変数に表示されるようにするにはどうすればよいですか? ApacheはWebサーバーとして使用します。 Ngnixに切り替えない主な理由は、Windowsドメインに安定したNTLM認証モジュールがないことです。
たぶん誰かが彼に伝えることができますか?
Apacheでは、すべてが非常に簡単に構成されます。 NTLM認証モジュールをダウンロードしてコンパイルする必要があります。 これを行う方法については、最初の記事で詳しく説明しましたが、このモジュールの不具合についても説明しています。habrahabr.ru / company / monandco / blog / 198496
クライアント側で設定する方法
透過的な認証が正しく機能するためには、クライアントブラウザーは特定の情報を北に渡す必要があります。 デフォルトでは、ブラウザはこれを行わず、ドメインのログインとパスワードの入力を求めるウィンドウがポップアップします(ただし、これは必要ありません)。
Firefox
URLバーに「about:config」と入力します
「network.automatic-ntlm-auth.trusted-uris」パラメーターを見つけて、ドメインを追加します。
ChromeとIE
ドメインを信頼済みゾーンに追加する必要があります。
そして、信頼ゾーンの設定を変更します。
Chrome for WindowsはInternet Explorerから設定を取得します。
もちろん、これはすべてグループポリシーを使用して行うのが最適です。
SSOプラグインは、他の多くの便利な機能を実装しています。
二要素認証
プラグインは、SMS経由でコードを送信することでRedmineの2要素認証を実装します。 確かに、SMSメッセージを送信する独自のSMSゲートウェイが必要です。
2要素認証のさまざまなパラメーターを構成できます。 たとえば、特定のドメインまたはIPアドレスで認証を無効にすることができます。 これは、外部で作業しているユーザーに対してのみ追加の確認を取得する場合に便利です。
管理者など、特定のRedmineセキュリティグループのユーザーに対して2要素認証を無効にできます。
ブラウザウィンドウ内のスクリーンセーバー
これは、オペレーティングシステムで操作を行わないための通常のユーザーロックを持たないユーザー向けの一種の松葉杖ソリューションです。 Redmineインターフェースの代わりに、ブラウザウィンドウでユーザーが非アクティブの場合に、マトリックスからスクリーンセーバーが表示されるまでの間隔を設定できます。
さらに、タイムアウトによる自動ログアウトを有効にすることができます。
私の記事とプラグインが役に立つことを願っています。 Redmineの使用について質問がある場合は、コメントを書き込んでください。 答えようとします。