Skip to end of metadata
Go to start of metadata

中文标题【管理多目录】

这个页面描述了如果在 Confluence 中定义了多个目录服务器将会发生什么样的情况。例如你可能会有一个内部目录服务器同时你还可能有连接一个 LDAP 外部服务器或者使用多种类型的其他用户目录。当你在系统中定义了多个目录服务器的时候,你需要在系统中指定不同目录服务器的载入顺序(directory order)

避免跨目录的多个用户名:如果你连接了超过一个的目录服务器,我们建议你需要确定你的用户名在目录服务器中是唯一的。例如:我们不建议你定义一个用户同时在'Directory1' 和 'Directory2' 中都定义 jsmith 这个用户。这样要求的原因是避免在系统中导致混乱,尤其是在你对目录服务器进行切换的时候。修改目录服务器的排列顺序也会修改用户名的引用顺序。

本页面中的内容:

概述

这里是有关目录顺序如何影响处理流程:

  • 目录中的顺序是被用来如何查找用户和组的顺序。
  • 修改用户和用户组将会仅仅应用到应用程序具有修改权限的第一个目录中。

配置目录载入顺序

你可以修改在 Confluence 中定义的目录顺序。从 Confluence 干理由控制台中选择 用户目录(User Directories),然后单击每一个目录前面上下调节按钮进行调节就可以了。

注意:

  • 请阅读本页后续章节中的目录顺序在 Confluence 授权(登录)和权限中的影响和当你在 Confluence 中更新用户和用户组后将会发生什么。
  • 当你移动外部目录到 Confluence 内部目录之前的时候,请确定你(或者你的管理员用户)在用户组  confluence-administrators 中,否则你的管理员用户可能不能允许登录到 Confluence 管理员控制台。


目录序列将会影响

这个部分将会对用户目录序列对登录和权限以及更新用户和用户组的影响进行描述。

登录

用户目录的排序在用户登录系统中的影响是非常重要的,尤其对一个相同用户名的用户在多个目录中存在的情况。当用户在系统中进行登录的时候,系统将会对用户输入的用户名按照系统中用户目录的排列顺序进行搜索,同时对最先找到的用户的密码和用户在应用程序登录时候输入的密码进行对比,用这个对比来确定用户的登录信息是否正确。

权限

汇总成员(默认)

当使用基于 Confluence 中用户组成成员使用默认情况下对用户进行合并汇总的时候,用户目录的顺序并不是非常重要的。如果一个用户在多个用户目录中存在的话,应用程序将会汇总(合并)这个用户在所有目录中的权限,

例如:

  • 你连接了 2 个目录:客户目录和合作伙伴组目录。
  • 客户目录在目录序列中排在第一位。
  • 一个用户名 jsmith 在客户目录和合作伙伴目录中都同时存在。
  • 用户名 jsmith 的用户是 G1 的用户组成员(客户目录中),同时也是 G2 用户组的成员(合作伙伴目录中)。
  • 那么用户名 jsmith  的成员将会自动同时具有 G1G2 的权限,而与这 2 个目录的序列无关。

针对 Confluence 5.7 及后续版本有关管理员的更新:

用户的用户组成员在多个目录中的权限更新(例如,LDAP,Active Directory,Crowd)在 Confluence 5.7 版本的更新。组成员将不会从所有目录中进行合并而不是仅仅存在于第一个出现的用户目录。在绝大部分的情况下,这个修改对用户只在一个目录中出现或者用户目录同步正确的情况是没有任何影响的。在一些极端的情况下,用户组成员没有完整的进行同步,这种情况将会自动赋予用户查看空间的权限(如果用户属于的用户组成员在前面的同步过程中被 Confluence 忽略了的话)。

 这里是一个示例情况...

在这个情况,系统同步的时候出现了异常,这个用户在 2 个不同的用户目录中获得相同的用户名,但是这个用户属于不同的用户组。


现在,这个用户的目录在 Confluence 的系统中中看起来像下面的情况:

同时这个用户在每个用户组中成员的信息看起来如下面的情况:

'Dev Team' 页面限制给了 developers 用户组。

  • 在 5.6 及其前期版本,这个用户不能查看这个页面,因为这个用户的权限被限制在了 Active Directory 目录中了- 因为第一次出现的这个用户目录具有最高的权限。
  • 在 5.7 及其后续版本,这个用户可以查看这个页面,这是因为这个用户的权限被所有的用户组合并了,而与用户属于的用户目录排序无关。

对 Confluence 而言,他的用户组成员信息将会和下面看起来一样:

这个的意思是,在 Confluence 5.7 版本以后,他可以查看任何被限制 'developers' 用户组查看的页面。


不能合并的成员

使用 REST API 来告诉 Confluence 不对用户组成员进行合并是可以行的,请参考下面的配置:

 Turning on non-aggregating membership...

REST 资源支持 JSON 和 XML。你需要作为系统管理员登录系统后才能进行操作。

# To GET the current setting
curl -H 'Accept: application/json' -u <username> <base-url>/rest/crowd/latest/application

# To PUT the setting
curl -H 'Content-type: application/json' -X PUT -d '{"membershipAggregationEnabled":true}' -u <username> <base-url>/rest/crowd/latest/application

如果你已经选择了不合并用户成员,那么用户的目录序列将是十分重要的。如果用户的用户组信息存在于多个用户目录话,那么用户所属的用户组将会在用户目录第一次出现的用户中中出现,这个是基于用户目录的排序进行设置的。

例如:

  • 你连接了 2 个目录:客户目录和合作伙伴组目录。
  • 客户目录在目录序列中排在第一位。
  • 一个用户名 jsmith 在客户目录和合作伙伴目录中都同时存在。
  • 用户名 jsmith 的用户是 G1 的用户组成员(客户目录中),同时也是 G2 用户组的成员(合作伙伴目录中)。
  • 那么用户名 jsmith  的成员将只具有 G1 的权限,而忽略掉 G2 的权限。

更新用户和用户组

如果你通过系统的管理员界面更新用户或者用户组,这个更新只会写入到系统具有写入权限的第一个用户组中。

示例 1:

  • 你连接了 2 个目录:客户目录和合作伙伴组目录。
  • 应用程序具有更新 2 个目录的权限。
  • 客户目录在目录序列中排在第一位。
  • 一个用户名 jsmith 在客户目录和合作伙伴目录中都同时存在。
  • 你通过程序的界面更新 jsmith 用户的电子邮件地址。
  • 你对这个用户的更新只对客户目录中的信息有效,系统不会同时更新 2 个目录。

示例 2 :

  • 你连接了 2 个目录:一个具有读写权限的 LDAP 目录和内部目录。
  • LDAP 目录在目录的排序中排在第一位。
  • 所有的新用户将会添加到 LDAP 目录中,新用户是没有办法添加到内部目录中的。



相关主题

Managing Multiple Directories


  • No labels