目标
JIRA Internal Directory切换为LDAP目录
切换用户目录原因
- 对于用户而言,公司的OA、工单系统、配置管理系统等账号密码不统一,1个用户在不同的系统中存在不同的账号信息,或者相同账号,不同密码,导致用户记忆混乱,使用困难;
- 对于管理员而言,人员入职、离职、权限分配需操作或检查所有系统中的账号及权限信息,工作量增大。不利于各配置管理系统的持续集成;
- 对于公司而言,人员离职,权限的收回依赖于各系统管理员,无法保证安全性。
账号切换准备工作
- 由于公司分为自有员工与合作方员工,自有员工入职即会有OA账号,合作方员工无OA账号。所以LDAP用户使用自有员工的OA账号+合作方员工的LDAP账号(OA账号会每天定时同步到LDAP、合作方员工需在LDAP中新建账号)
- LDAP目录中用户的uid与JIRA Internal Directory中的username如果相同,则认为2个账号是同一个用户
- 如果jira系统安装了password相关的插件,需提前禁用掉
- 关闭jira登录首页的“忘记密码重置密码”链接
修正账号
1. 准备账号:
由于jira中存在大量issue、filter,必须先修订jira用户的username与LDAP中用户uid一致,再切换为ldap用户目录。查询jira中所有**的用户的sql如下:
SELECT
c.user_name,
c.display_name,
c.email_address
FROM cwd_user c
WHERE c.active = '1'
AND c.directory_id = '1'
通过邮箱信息,与ldap中用户的邮箱对比,一一对应jira中username与ldap中uid。注意:检查uid是否重复,并且检查uid与jira中冻结用户的uid是否重复,如果重复会导致无法修改username
2. 修改username
通过jira command line interface来实现批量修改。把账号信息放入.csv文件中
3. deactive JIRA Internal Directory users
不禁用账号会导致分配用户时能搜到2个相同的用户,其中一个是 JIRA Internal Directory中已冻结的账号,但是分配时只显示邮箱信息,因此无法区分。
配置LDAP
为了避免ldap中存在与本地jira管理员相同的账号,而导致管理员无法登录,需要事先把管理员的username重命名
调整用户目录位置
调整ldap与jira internel directory的位置,ldap排第一。此时,jira系统中只能搜索到ldap中的用户。并且ldap替代了jira internal directory user的权限,不会导致原有的issue丢失。
注意事项
切换用户目录为ldap以后,如果想分配问题给张三,而张三未登陆过jira,就不在jira-software-users组中,分配问题时找不到该用户