Verwenden von LDAP

Wenn Sie Lightweight Directory Access Protocol (LDAP) verwenden, um den Zugriff anwendungsübergreifend zu zentralisieren, können Sie GitHub Enterprise Server integrieren, indem Sie die LDAP-Authentifizierung für Ihre Instanz konfigurieren.

In diesem Artikel

Informationen zur LDAP-Authentifizierung für GitHub Enterprise Server

LDAP ist ein beliebtes Anwendungsprotokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten. Zudem ist es eines der gängigsten Protokolle zur Integration von Drittanbietersoftware in große Benutzerverzeichnisse von Unternehmen. Weitere Informationen findest du unter Lightweight Directory Access Protocol auf Wikipedia.

Wenn Sie ein LDAP-Verzeichnis für die zentralisierte Authentifizierung verwenden, können Sie die LDAP-Authentifizierung für die Benutzer konfigurieren, die sie verwenden Ihre GitHub Enterprise Server-Instance.

Hinweis

Du kannst entweder SAML oder LDAP verwenden.

Wenn du die Authentifizierung für einige Personen zulassen möchtest, die kein Konto bei deinem externen Authentifizierungsanbieter haben, kannst du die Fallbackauthentifizierung für lokale Konten auf Ihre GitHub Enterprise Server-Instance zulassen. Weitere Informationen finden Sie unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.

Unterstützte LDAP-Dienste

GitHub Enterprise Server integriert sich in diese LDAP-Dienste:

  • Active Directory
  • FreeIPA
  • Oracle Directory Server Enterprise Edition
  • OpenLDAP
  • Verzeichnis öffnen
  • 389-ds

Überlegungen zu Benutzernamen mit LDAP

GitHub normalisiert einen Wert deines externen Authentifizierungsanbieters, um den Benutzernamen für jedes neue persönliche Konto auf Ihre GitHub Enterprise Server-Instance festzulegen. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Konfigurieren von LDAP mit Ihre GitHub Enterprise Server-Instance

Nach der Konfiguration von LDAP können sich Benutzer*innen mit ihren LDAP-Anmeldeinformationen bei deiner Instanz anmelden. Wenn sich Benutzer erstmals anmelden, werden ihre Profilnamen, E-Mail-Adressen und SSH-Schlüssel mit den LDAP-Attributen aus deinem Verzeichnis festgelegt.

Wenn Sie den LDAP-Zugriff für Benutzer über Verwaltungskonsole konfigurieren, werden Ihre Benutzerlizenzen erst dann verwendet, wenn sich ein Benutzer zum ersten Mal bei Ihrer Instanz anmeldet. Wenn du jedoch ein Konto manuell in den Website-Administratoreinstellungen erstellst, wird die Benutzerlizenz sofort gezählt.

Warnung

Bevor Sie LDAP auf Ihre GitHub Enterprise Server-Instance konfigurieren, stellen Sie sicher, dass Ihr LDAP-Dienst Ergebnisseiten unterstützt.

  1. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

  2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

  3. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.

  4. Klicke auf der Randleiste unter „Einstellungen“ auf Authentifizierung.

  5. Wähle unter „Authentication“ (Authentifizierung) die Option LDAP aus.

  6. Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen finden Sie unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.

  7. Füge die gewünschten Konfigurationseinstellungen hinzu.

LDAP-Attribute

Verwenden Sie diese Attribute, um die Konfiguration von LDAP für Ihre GitHub Enterprise Server-Instance abzuschließen.

AttributnameErforderlichBESCHREIBUNG
HostDer LDAP-Host, z. B. ldap.example.com oder 10.0.0.30. Wenn der Hostname nur über Ihr internes Netzwerk verfügbar ist, müssen Sie möglicherweise zuerst das DNS von Ihre GitHub Enterprise Server-Instance
konfigurieren, damit Ihre GitHub Enterprise Server-Instance
den Hostnamen mithilfe Ihrer internen Nameserver auflösen kann.
PortDer Port, der von den LDAP-Diensten des Hosts überwacht wird. Beispiele: 389 und 636 (für LDAPS).
EncryptionDie Verschlüsselungsmethode, die verwendet wird, um Kommunikationen zum LDAP-Server zu schützen. Dazu zählen beispielsweise Nur-Text (keine Verschlüsselung), SSL/LDAPS (von Anfang an verschlüsselt) und StartTLS (Upgrade auf verschlüsselte Kommunikation nach dem Herstellen der Verbindung).
Domain search userDer LDAP-Benutzer, der nach anderen Benutzern sucht, die sich anmelden, um die Authentifizierung zuzulassen. In der Regel handelt es sich dabei um ein Dienstkonto, das speziell für Drittanbieterintegrationen erstellt wird. Verwende einen vollqualifizierten Namen wie cn=Administrator,cn=Users,dc=Example,dc=com. Mit Active Directory können Sie auch die Syntax [DOMAIN]\[USERNAME] (z. B. WINDOWS\Administrator) für den Domänensuchbenutzer mit Active Directory verwenden.
Domain search passwordDas Passwort für den Benutzer der Domain-Suche.
Administrators groupBenutzerinnen in dieser Gruppe werden auf Websiteadministratorinnen hochgestuft, wenn sie sich bei deiner Appliance anmelden. Wenn du keine Gruppe für LDAP-Administratoren konfigurierst, wird das erste LDAP-Benutzerkonto, das sich bei deiner Appliance anmeldet, automatisch auf einen Websiteadministrator hochgestuft.
Domain baseDer vollqualifizierte Distinguished Name (DN) einer LDAP-Unterstruktur, die du nach Benutzern und Gruppen durchsuchen möchtest. Jede Gruppe muss jedoch in derselben Domainbasis definiert sein wie die zugehörigen Benutzer*innen. Wenn du eingeschränkte Benutzergruppen angibst, befinden sich nur die diesen Gruppen zugehörigen Benutzer im Geltungsbereich. Zum Steuern des Zugriffs solltest du die oberste Ebene deiner LDAP-Verzeichnisstruktur als deine Domain-Basis angeben und eingeschränkte Benutzergruppen verwenden. Sie können mehrere Domainbasen konfigurieren.
GitHub Enterprise Server Sucht jedoch nach Benutzern und Gruppenmitgliedschaften für jede konfigurierte Domänenbasis sequenziell, sodass das Konfigurieren mehrerer Domänenbasen die Anzahl der ausgeführten LDAP-Abfragen erhöhen kann. Um die Leistung und Stabilität Ihrer Instanz zu gewährleisten, sollten Sie höchstens drei Domainbasen konfigurieren.
Restricted user groupsWenn diese Option angegeben ist, können sich nur die Benutzer dieser Gruppen anmelden. Sie müssen lediglich die allgemeinen Namen (CNs) der Gruppen angeben. Wenn keine Gruppen angegeben sind, können sich alle Benutzer innerhalb des Bereichs der angegebenen Domänenbasis bei Ihrer GitHub Enterprise Server Instanz anmelden. Sie können mehrere Gruppen für Benutzer*innen mit eingeschränktem Zugriff konfigurieren. Mit jeder Gruppe erhöht sich jedoch die Anzahl der LDAP-Abfragen zur Gruppenmitgliedschaft, die GitHub Enterprise Server für jeden Benutzer durchführt. Um Zeitüberschreitungen bei der Authentifizierung und Probleme mit der Synchronisierungsleistung zu verhindern, sollten Sie höchstens drei Gruppen konfigurieren.
User IDDas LDAP-Attribut, das den LDAP-Benutzer identifiziert, der versucht, sich zu authentifizieren. Sobald eine Zuordnung eingerichtet wurde, können Benutzer ihre GitHub Enterprise ServerBenutzernamen ändern. Dieses Feld sollte für die meisten Active Directory Installationen sAMAccountName sein, kann aber für andere LDAP-Lösungen wie OpenLDAP uid sein. Der Standardwert ist uid.
Profile nameDer Name, der auf der Profilseite des GitHub Enterprise Server Benutzers angezeigt wird. Sofern die LDAP-Synchronisierung nicht aktiviert ist, können Benutzer ihre Profilnamen ändern.
EmailsDie E-Mail-Adressen für das GitHub Enterprise Server Konto eines Benutzers.
SSH keysDie öffentlichen SSH-Schlüssel, die an das Konto eines GitHub Enterprise Server Benutzers angefügt sind. Die Schlüssel müssen im OpenSSH-Format vorliegen.
GPG keysDie GPG-Schlüssel, die an das Konto eines Benutzers GitHub Enterprise Server angefügt sind.
Disable LDAP authentication for Git operationsWenn ausgewählt, wird die Möglichkeit der Benutzer deaktiviert, LDAP-Kennwörter zum Authentifizieren von Git-Vorgängen zu verwenden.
Enable LDAP certificate verificationWenn ausgewählt, wird die LDAP-Zertifikatüberprüfung aktiviert.
SynchronizationWenn ausgewählt, wird die LDAP-Synchronisierung aktiviert.

Passwortauthentifizierung für Git-Vorgänge deaktivieren

Um die Verwendung von personal access tokenS- oder SSH-Schlüsseln für den Git-Zugriff zu erzwingen, wodurch verhindert werden kann, dass Ihr Server von LDAP-Authentifizierungsanforderungen überlastet wird, können Sie die Kennwortauthentifizierung für Git-Vorgänge deaktivieren.

Diese Einstellung wird empfohlen, da ein langsam reagierender LDAP-Server, insbesondere in Kombination mit einer Vielzahl von Anforderungen durch regelmäßige Abfragen, häufig für Leistungsprobleme und Ausfälle verantwortlich ist.

Um die Kennwortauthentifizierung für Git-Vorgänge zu deaktivieren, wählst du in den LDAP-Einstellungen Authentifizierung mit Benutzername und Kennwort für Git-Vorgänge deaktivieren aus.

Wenn ein Benutzer versucht, ein Kennwort für Git-Vorgänge über die Befehlszeile zu verwenden, wird bei Auswahl dieser Option eine Fehlermeldung mit folgendem Wortlaut angezeigt: Password authentication is not allowed for Git operations. You must use a personal access token.

LDAP-Zertifikatsverifizierung aktivieren

Du kannst das mit TLS verwendete LDAP-Serverzertifikat überprüfen, indem du die LDAP-Zertifikatsüberprüfung aktivierst.

Um die LDAP-Zertifikatsüberprüfung zu aktivieren, wählst du in den LDAP-Einstellungen LDAP-Zertifikatsüberprüfung aktivieren aus.

Wenn diese Option ausgewählt ist, wird das Zertifikat validiert, um Folgendes sicherzustellen:

  • Wenn das Zertifikat mindestens einen Subject Alternative Name (SAN) enthält, stimmt einer der SANs mit dem LDAP-Hostnamen überein. Andernfalls stimmt der allgemeine Name (Common Name, CN) mit dem LDAP-Hostnamen überein.
  • Das Zertifikat ist nicht abgelaufen.
  • Das Zertifikat wurde von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert.

LDAP-Synchronisierung aktivieren

Sie können eine rollenbasierte Zugriffssteuerung für Benutzer aus Ihrem LDAP-Server einrichten, indem Sie GitHub Enterprise Server Benutzer und Teammitgliedschaften mit Ihren eingerichteten LDAP-Gruppen synchronisieren. Weitere Informationen finden Sie unter Erstellen eines Organisationsteams.

Die LDAP-Synchronisierung erstellt keine Benutzerkonten auf Ihre GitHub Enterprise Server-Instance. Weitere Informationen findest du unter Anzeigen und Erstellen von LDAP-Benutzern.

Hinweis

Die Verwendung der LDAP-Synchronisierung für Gruppen mit mehr als 1499 Mitgliedern kann zu Fehlern bei der Synchronisierung der Teammitgliedschaft führen.

Wenn Sie Active Directory speziell verwenden, schlägt die Benutzersuche und die Teamsynchronisierung möglicherweise fehl, wenn die ldap-Gruppen, die für Teams konfiguriert sind, oder in der Verwaltungskonsole 1500 Mitglieder überschreiten, aufgrund des Grenzwerts MaxValRange in Active Directory. Als Problemumgehung können Sie Active Directory Gruppen verwenden, die weniger als 1500 Mitglieder enthalten, oder Sie können mit Ihrem Active Directory Administrator zusammenarbeiten, um den MaxValRange-Wert für Ihre Domänencontroller zu erhöhen. Weitere Informationen finden Sie unter Anzeigen und festlegen der LDAP-Richtlinie in Active Directory mithilfe von Ntdsutil.exe in Microsoft Learn.

Wenn Sie Hilfe bei der Ermittlung benötigen, ob das Ändern der MaxValRange der richtige Ansatz für Ihre Active Directory-Umgebung ist, wenden Sie sich an Microsoft-Support.

Um die LDAP-Synchronisierung zu aktivieren, wähle in deinen LDAP-Einstellungen die Option Synchronization (Synchronisierung) aus.

Wenn du ein Synchronisierungsintervall für alle Benutzer und alle Teams auswählen möchtest, klicke auf die Einblendmenüs. Wähle dann every 1 hour (1 Stunde), every 4 hours (4 Stunden) oder every 24 hours (24 Stunden) aus.

Um bestimmte Attribute aus LDAP automatisch zu synchronisieren, klicke unter „Synchronize User Emails, SSH & GPG Keys“ (Benutzer-E-Mails, SSH- und GPG-Schlüssel synchronisieren) auf Synchronize Emails (E-Mails synchronisieren) Synchronize SSH Keys (SSH-Schlüssel synchronisieren) und/oder Synchronize GPG Keys (GPG-Schlüssel synchronisieren).

Nach der Aktivierung der LDAP-Synchronisierung wird ein Synchronisierungsauftrag entsprechend dem angegebenen Zeitintervall ausgeführt, um die folgenden Vorgänge in jedem Benutzerkonto durchzuführen:

  • Wenn du die integrierte Authentifizierung für Benutzer außerhalb deines Identity Providers erlaubt hast und der Benutzer die integrierte Authentifizierung verwendet, kannst du zum nächsten Benutzer wechseln.
  • Wenn für den Benutzer keine LDAP-Zuordnung vorliegt, solltest du versuchen, den Benutzer einem LDAP-Eintrag im Verzeichnis zuzuordnen. Wenn es nicht möglich ist, den Benutzer einem LDAP-Eintrag zuzuordnen, sperre den Benutzer, und wechsle zum nächsten Benutzer.
  • Wenn eine LDAP-Zuordnung vorliegt, der entsprechende LDAP-Eintrag im Verzeichnis jedoch fehlt, sperre den Benutzer, und wechsle zum nächsten Benutzer.
  • Wenn der entsprechende LDAP-Eintrag als deaktiviert markiert wurde und der Benutzer nicht bereits gesperrt ist, sperre den Benutzer, und wechsle zum nächsten Benutzer.
  • Wenn der entsprechende LDAP-Eintrag nicht als deaktiviert markiert ist, der Benutzer gesperrt ist und Reactivate suspended users (Gesperrte Benutzer erneut aktivieren) im Admin Center aktiviert ist, entsperre den Benutzer.
  • Sperre den Benutzer, wenn Benutzergruppen mit eingeschränktem Zugriff in der Instanz konfiguriert sind und sich der entsprechende LDAP-Eintrag nicht in einer dieser Gruppen befindet.
  • Entsperre den Benutzer, wenn Benutzergruppen mit eingeschränktem Zugriff in der Instanz konfiguriert sind, wenn sich der entsprechende LDAP-Eintrag in einer dieser Gruppen befindet und wenn Reactivate suspended users (Gesperrte Benutzer erneut aktivieren) im Admin Center aktiviert ist.
  • Wenn der entsprechende LDAP-Eintrag das Attribut name enthält, aktualisiere den Profilnamen des Benutzers.
  • Wenn sich der entsprechende LDAP-Eintrag in der Gruppe „Administrators“ (Administratoren) befindet, stufe den Benutzer auf einen Websiteadministrator hoch.
  • Wenn sich der entsprechende LDAP-Eintrag nicht in der Gruppe „Administrators“ (Administratoren) befindet, stufe den Benutzer bzw. die Benutzerin auf ein normales Konto zurück, es sei denn, das Konto wird gesperrt. Gesperrte Administrator*innen werden nicht herabgestuft und bleiben auf den Seiten „Websiteadministratoren“ und „Unternehmensbesitzer“ aufgeführt.
  • Wenn das Feld „LDAP User“ (LDAP-Benutzer) für E-Mails festgelegt ist, synchronisiere die E-Mail-Einstellungen des Benutzers mit dem LDAP-Eintrag. Lege den ersten LDAP-mail-Eintrag als primäre E-Mail-Adresse fest.
  • Wenn das Feld „LDAP User“ (LDAP-Benutzer) für öffentliche SSH-Schlüssel festgelegt ist, synchronisiere die öffentlichen SSH-Schlüssel des Benutzers mit dem LDAP-Eintrag.
  • Wenn das Feld „LDAP User“ (LDAP-Benutzer) für GPG-Schlüssel festgelegt ist, synchronisiere die GPG-Schlüssel des Benutzers mit dem LDAP-Eintrag.

Hinweis

LDAP-Einträge können nur als deaktiviert gekennzeichnet werden, wenn Sie Active Directory verwenden und das Attribut userAccountControl vorhanden und mit ACCOUNTDISABLE gekennzeichnet ist. Einige Variationen von Active Directory, z. B. AD LDS und ADAM, unterstützen das attribut userAccountControl nicht.

Darüber hinaus wird ein Synchronisierungsauftrag im angegebenen Zeitintervall ausgeführt, um die folgenden Aktionen für jedes Team durchzuführen, das einer LDAP-Gruppe zugeordnet wurde:

  • Wenn die entsprechende LDAP-Gruppe eines Teams entfernt wurde, entferne alle Mitglieder aus dem Team.

  • Wenn Einträge von LDAP-Mitgliedern aus der LDAP-Gruppe entfernt wurden, entferne die entsprechenden Benutzer aus dem Team. Wenn der Benutzer nicht länger Mitglied eines Teams in der Organisation und kein Organisationsbesitzer ist, entferne den Benutzer aus der Organisation. Wenn der Benutzer den Zugriff auf die Repositorys verloren hat, lösche die privaten Forks, die der Benutzer für diese Repositorys besitzt.

    Hinweis

    Bei der LDAP-Synchronisierung wird ein Benutzer nicht aus einer Organisation entfernt, wenn der Benutzer ein Besitzer dieser Organisation ist. Stattdessen muss ein anderer Organisationsbesitzer den Benutzer manuell entfernen.

  • Wenn die LDAP-Mitgliedereinträge zur LDAP-Gruppe hinzugefügt wurden, füge die entsprechenden Benutzer dem Team hinzu. Wenn der Benutzer den Zugriff auf Repositorys zurückerlangt, solltest du die privaten Forks der Repositorys wiederherstellen, die gelöscht wurden, weil der Benutzer den Zugriff in den vergangenen 90 Tagen verloren hat.

Im Rahmen der Optimierungskonfiguration wird LDAP Sync deine geschachtelte Teamstruktur nicht übertragen. Um unter- und übergeordnete Teambeziehungen zu erstellen, musst Du die verschachtelte Teamstruktur manuell neu erstellen und mit der entsprechenden LDAP-Gruppe synchronisieren. Weitere Informationen findest du unter Erstellen eines Organisationsteams.

Warnung

Wenn die LDAP-Synchronisierung aktiviert ist, können Websiteadministratoren und Organisationsinhaber das LDAP-Verzeichnis nach Gruppen durchsuchen, um sie dem Team zuzuordnen.

Dadurch können sensible Organisationsinformationen potenziell Vertragsnehmern oder anderen nicht privilegierten Benutzern offengelegt werden, darunter

  • die Verfügbarkeit von spezifischen LDAP-Gruppen, die für den Benutzer der Domänensuche sichtbar sind,
  • Mitglieder der LDAP-Gruppe mit GitHub Enterprise Server Benutzerkonten, die beim Erstellen eines mit dieser LDAP-Gruppe synchronisierten Teams offengelegt werden.

Wenn die Offenlegung solcher Informationen nicht gewünscht wird, sollte dein Unternehmen oder deine Organisation in der Administratorkonsole die Berechtigungen des konfigurierten Benutzers der Domänensuche einschränken. Falls eine solche Einschränkung nicht möglich ist, kontaktieren Sie uns unter GitHub Enterprise-Support.

Unterstützte LDAP-Gruppenobjektklassen

GitHub Enterprise Server unterstützt diese LDAP-Gruppenobjektklassen. Gruppen können verschachtelt werden.

  • group
  • groupOfNames
  • groupOfUniqueNames
  • posixGroup

LDAP-Benutzer anzeigen und erstellen

Wenn du LDAP verwendest, erstellt deine Instanz ein Benutzerkonto, wenn sich eine Person zum ersten Mal erfolgreich mit LDAP-Anmeldeinformationen anmeldet. Alternativ kannst du ein Benutzerkonto manuell bereitstellen.

Du kannst die vollständige Liste der LDAP-Benutzer anzeigen, die Zugriff auf deine Instanz besitzen, und neue Benutzer bereitstellen.

  1. Melde dich unter http(s)://HOSTNAME/login bei Ihre GitHub Enterprise Server-Instance an.

  2. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

  3. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

  4. Klicke auf der linken Randleiste auf LDAP users (LDAP-Benutzer).

  5. Gib zum Suchen nach einem Benutzer einen vollständigen oder einen Teil von einem Benutzernamen ein, und klicke auf Search (Suchen). Die vorhandenen Benutzer werden in den Suchergebnissen angezeigt. Wenn ein Benutzer nicht vorhanden ist, klicke auf Create (Erstellen), um das neue Benutzerkonto bereitzustellen.

LDAP-Konten aktualisieren

Sofern die LDAP-Synchronisierung nicht aktiviert ist, werden Änderungen an LDAP-Konten nicht automatisch mit GitHub Enterprise Serverdiesen synchronisiert.

LDAP-Konten manuell synchronisieren

  1. Melde dich unter http(s)://HOSTNAME/login bei Ihre GitHub Enterprise Server-Instance an.

  2. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

  3. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

  4. Gib unter „Benutzer, Organisationen, Teams, Repositorys, Gists und Anwendungen durchsuchen“ den Namen des Benutzers oder der Benutzerin in das Textfeld ein.

  5. Wähle rechts neben dem Textfeld die Option Suchen aus.

    Screenshot der Seite „Suchen“ in den Einstellungen für „Websiteadministrator“. Die Schaltfläche zum Suchen von Benutzer*innen mit der Bezeichnung „Suchen“ ist orange umrandet.

    • Wenn keine genaue Übereinstimmung mit dem Kontonamen gefunden wird, wähle unter „Suchergebnisse: Konten“ im Abschnitt „Fuzzyübereinstimmungen“ den Namen des Benutzers bzw. der Benutzerin aus, den bzw. die du verwalten möchtest.
      Screenshot der Suchergebnisse in den Einstellungen für „Websiteadministrator“. Im Abschnitt „Fuzzyübereinstimmungen“ ist ein Beispielbenutzername orange umrandet.

  6. Überprüfe die Benutzerdetails auf der Websiteadministratorseite, um zu bestätigen, dass du den/die richtigen Benutzerin identifiziert haben.

    Screenshot der Übersichtsseite des Websiteadministratorkontos

  7. Klicke in der oberen rechten Ecke der Seite auf Admin.

    Screenshot der Kopfzeile der Seite „Websiteadministrator“ für einzelne Benutzer*innen oder Repositorys. Die Registerkarte „Administrator“ ist orange umrandet.

  8. Klicke unter „LDAP“ auf Sync now (Jetzt synchronisieren), um das Konto manuell mit Daten aus deinem LDAP-Server zu aktualisieren.

Du kannst auch die API verwenden, um eine manuelle Synchronisierung auszulösen.

Zugriff auf Ihre GitHub Enterprise Server-Instance widerrufen

Wenn die LDAP-Synchronisierung aktiviert ist, wird durch das Entfernen der LDAP-Anmeldeinformationen eines Benutzers das Konto des Benutzers nach der nächsten Synchronisierungsausführung gesperrt.

Wenn die LDAP-Synchronisierung nicht aktiviert ist, müssen Sie das GitHub Enterprise Server Konto manuell anhalten, nachdem Sie die LDAP-Anmeldeinformationen entfernt haben. Weitere Informationen finden Sie unter Benutzer sperren und entsperren.

Informationen zum Loggen für LDAP

LDAP-Protokollereignisse werden im systemd-Journal auf Ihre GitHub Enterprise Server-Instance angezeigt. Sie finden Ereignisse im Zusammenhang mit LDAP-Vorgängen in den Protokollen für github-unicorn und github-resqued. Weitere Informationen finden Sie unter Informationen zu Systemprotokollen.

Einschränkungen für LDAP auf GitHub Enterprise Server

Die GitHub Enterprise Server EINSTELLUNG für das LDAP-Authentifizierungstimeout beträgt 10 Sekunden. Dies bedeutet, dass alle LDAP-Abfragen, die für Benutzerauthentifizierungs- und Gruppenmitgliedschaftsabfragen erforderlich sind (wenn Administratoren und eingeschränkte Benutzergruppen in der Verwaltungskonsole konfiguriert sind) innerhalb von 10 Sekunden für einen LDAP-Benutzer, der sich anmeldet GitHub Enterprise Server, erfolgreich abschließen müssen. GitHub Enterprise Server unterstützt derzeit keine Erweiterung dieses 10-Sekunden-LDAP-Authentifizierungstimeouts, da dies negative Auswirkungen auf andere Dienste auf die Appliance haben kann und zu einer schlechten Leistung oder unerwarteten Ausfällen führen kann. Es wird empfohlen, die Netzwerklatenz zwischen GitHub Enterprise Server und LDAP-Servern einzuschränken, um Authentifizierungstimeouts zu verhindern.

GitHub Enterprise Server unterstützt keine LDAP-DNs von Benutzern mit Sonderzeichen. Wenn es einen LDAP-Benutzer gibt, dessen LDAP-DN ein Sonderzeichen enthält, kann GitHub Enterprise Server die Gruppenzugehörigkeit eines Benutzers, der sich authentifiziert oder durch LDAP Sync synchronisiert wird, möglicherweise nicht korrekt bestimmen.

Migrieren von LDAP zu SAML und SCIM

Wenn Ihre Organisation automatisierte Funktionen für die Benutzerbereitstellung und die Lebenszyklusverwaltung benötigt, die über das LDAP hinausgeht, können Sie von der LDAP-Authentifizierung zu SAML Single Sign-On mit SCIM-Bereitstellung migrieren. Diese Migration ermöglicht die zentrale Benutzerbereitstellung, Bereitstellungsaufhebung und Attributsynchronisierung über deinen Identitätsanbieter.

Weitere Informationen finden Sie unter Migrieren von LDAP zu SAML mit SCIM.