Всем привет. Эта мини-статься будет о том, как прикрутить SSO к продуктам Atlassian, в частности Jira, Confluence.

И так, что нам понадобится:

  1. Jira/Confluence
  2. Подключение к AD
  3. Плагин от Kantega AS (Kantega Single Sign-on with Kerberos and SAML)

Первые два пункта пропустим, так как уже их рассматривали не однократно. Установку плагина тоже пропустим, так как она заключается в:

  • Найти плагин через marketplace
  • Установка плагина, путем нажатия на одну кнопку
  • Получение ключа и его активация

По сути будут выполнены шаги:

  1. Создать пользователя svc-sso-jira
  2. Установить Password never expires
  3. Включить Kerberos AES 128 bit encryption
  4. Узнать реальное имя Jira( можно выполнить nslookup jira.test.local)
  5. На сервере AD выполнить, но эта команда будет сформирована позже
    1. ktpass /princ HTTP/ [email protected] /mapuser [email protected] /crypto AES128-SHA1 /pass * /ptype KRB5_NT_PRINCIPAL /out C:\jira.test.local.keytab
  6. Положить jira.test.local.keytab в удобное место

Должно получится приблизительно следующее

jira sso

Теперь переходим в сам плагин и начинаем его настраивать.

Настраивать будем через Kerberos и на примере Jira.

прозрачная авторизация jira

Выбираем Run setup wizard и следуем подсказкам. Указываем домен, пользователя, пароль, Canonical name, Realm name, Account name, метод шифрования(рекомендую остановится на AES 128), после чего будет сформирована инструкция, что, как и где надо выполнить. Имею ввиду команды от администратора.

После того, как будет сформирован файл jira.test.local.keytab, загрузить его через форму и приступить к тесту

Скорее всего будет ошибка, которая устраняется довольно легко, но может состоять из двух составляющих:

Если все же по каким-то причинам будут трудности с RODC, то это можно рассматривать как предупреждение, а не ошибку, т.к. по стандартной политике пароли сервисных и административных УЗ на RODC не реплицируются. Но все же стоит попробовать внести изменения в политику

На этом, настройка завершена и можно приступать к тестам. Заходим под учеткой на ПК и открываем в браузере адрес jira. И видим, как мы уже авторизованы под своей учеткой в jira

Хотите прозрачную авторизацию для jira? Обращайтесь [email protected] мы настроим.