Kết nối với thư mục LDAP trong Jira

Question

Bạn có thể kết nối ứng dụng JIRA của mình với thư mục LDAP để xác thực, quản lý người dùng và nhóm. Bạn sẽ cần đăng nhập với tư cách người dùng với 'Quản trị viên hệ thống JIRA' quyền toàn cầu để truy cập menu Cài đặt bên dưới.

Thư mục LDAP là tập hợp dữ liệu về người dùng và nhóm. LDAP (Giao thức truy cập thư mục hạng nhẹ) là một giao thức Internet mà các ứng dụng web có thể sử dụng để tra cứu thông tin về những người dùng và nhóm đó từ máy chủ LDAP.

Chúng tôi cung cấp các trình kết nối tích hợp sẵn cho các máy chủ thư mục LDAP phổ biến nhất:

• Microsoft Active Directory
• Máy chủ thư mục Apache (ApacheDS)
• Thư mục mở của Apple
• Máy chủ thư mục Fedora
• Thư mục điện tử Novell
• mởDS
• mởLDAP
• OpenLDAP sử dụng lược đồ Posix
• Lược đồ Posix cho LDAP
• Sun Directory Server Enterprise Edition (DSEE)
• Máy chủ thư mục LDAP chung

Khi nào nên sử dụng tùy chọn này: Việc kết nối với máy chủ thư mục LDAP sẽ hữu ích nếu người dùng và nhóm của bạn được lưu trữ trong thư mục công ty. Khi định cấu hình thư mục, bạn có thể chọn chỉ đọc, chỉ đọc với các nhóm cục bộ hoặc đọc/ghi. Nếu bạn chọn đọc/ghi, mọi thay đổi đối với thông tin người dùng và nhóm trong ứng dụng cũng sẽ cập nhật thư mục LDAP.

Kết nối với Thư mục LDAP trong JIRA

1. Lựa chọn > Quản lý người dùng . 
2. Chọn  Thư mục người dùng .
3. Thêm  một thư mục và chọn một trong các loại sau:
   • ' Microsoft Active Directory ' – Tùy chọn này cung cấp một cách nhanh chóng để chọn AD, vì đây là loại thư mục LDAP phổ biến nhất.
   • ' LDAP ' – Bạn sẽ có thể chọn loại thư mục LDAP cụ thể trên màn hình tiếp theo.
4. Nhập các giá trị cho cài đặt, như được mô tả bên dưới.
5. Lưu cài đặt thư mục.
6. Xác định thứ tự thư mục bằng cách nhấp vào mũi tên lên và xuống màu xanh bên cạnh mỗi thư mục trên màn hình ' Thư mục người dùng '. Dưới đây là tóm tắt về cách thứ tự thư mục ảnh hưởng đến quá trình xử lý:
   • Thứ tự của các thư mục là thứ tự mà chúng sẽ được tìm kiếm cho người dùng và nhóm.
   • Các thay đổi đối với người dùng và nhóm sẽ chỉ được thực hiện trong thư mục đầu tiên mà ứng dụng có quyền thực hiện thay đổi.
   Để biết chi tiết, xem Quản lý nhiều thư mục.

Ghi chú:

• Đối với cấu hình này, mỗi lần người dùng đăng nhập (tức là lần đầu tiên và những lần tiếp theo), dữ liệu của người dùng trong JIRA sẽ được cập nhật từ dữ liệu của người dùng trong LDAP. Điều này bao gồm tên người dùng, tên hiển thị, email và tư cách thành viên nhóm. Tuy nhiên, đối với tư cách thành viên nhóm, chỉ những điều sau đây được áp dụng:
  • chỉ các nhóm trực tiếp (nghĩa là không phải các nhóm lồng nhau) được đồng bộ hóa từ LDAP.
  • chỉ những nhóm đã có trong JIRA mới được đồng bộ hóa, nghĩa là các nhóm không được thêm/xóa và hệ thống phân cấp nhóm không được đồng bộ hóa.

Cài đặt máy chủ

Cài đặt	Sự miêu tả
Tên	Nhập một tên có ý nghĩa để giúp bạn xác định máy chủ thư mục LDAP. Ví dụ: Example Company Staff Directory Example Company Corporate LDAP
loại thư mục	Chọn loại thư mục LDAP mà bạn sẽ kết nối. Nếu bạn đang thêm kết nối LDAP mới, giá trị bạn chọn ở đây sẽ xác định giá trị mặc định cho nhiều tùy chọn trên phần còn lại của màn hình. Ví dụ: Microsoft Active Directory OpenDS Và nhiều hơn nữa
tên máy chủ	Tên máy chủ của máy chủ thư mục của bạn. Ví dụ: ad.example.com ldap.example.com opends.example.com
Hải cảng	Cổng mà máy chủ thư mục của bạn đang lắng nghe. Ví dụ: 389 10389 636(ví dụ: đối với SSL)
Sử dụng SSL	Kiểm tra điều này nếu kết nối đến máy chủ thư mục là kết nối SSL (Lớp cổng bảo mật). Lưu ý rằng bạn sẽ cần định cấu hình chứng chỉ SSL để sử dụng cài đặt này.
tên tài khoản	Tên phân biệt của người dùng mà ứng dụng sẽ sử dụng khi kết nối với máy chủ thư mục. Ví dụ: cn=administrator,cn=users,dc=ad,dc=example,dc=com cn=user,dc=domain,dc=name [email protected] Theo mặc định, tất cả người dùng có thể đọc thuộc tính uSNChanged; tuy nhiên, chỉ quản trị viên hoặc người dùng có quyền liên quan mới có thể truy cập vào vùng chứa Đối tượng đã xóa. Các đặc quyền cụ thể mà người dùng yêu cầu để kết nối với LDAP là "Liên kết" và "Đọc" (thông tin người dùng, thông tin nhóm, tư cách thành viên nhóm, số thứ tự cập nhật, đối tượng đã xóa) mà người dùng có thể có được bằng cách là thành viên của Active Directory's nhóm quản trị viên tích hợp. Lưu ý rằng quá trình đồng bộ hóa gia tăng sẽ không thành công nếu người dùng truy cập Active Directory mà không có các đặc quyền này. Điều này đã được báo cáo là  CWD-3093 .
Mật khẩu	Mật khẩu của người dùng được chỉ định ở trên. Lưu ý: Việc kết nối với máy chủ LDAP yêu cầu ứng dụng này đăng nhập vào máy chủ bằng tên người dùng và mật khẩu được định cấu hình tại đây. Do đó, mật khẩu này không thể được băm một chiều - nó phải có thể khôi phục được trong ngữ cảnh của ứng dụng này. Mật khẩu hiện được lưu trữ trong cơ sở dữ liệu ở dạng văn bản thuần túy mà không bị xáo trộn. Để đảm bảo tính bảo mật của ứng dụng, bạn cần đảm bảo rằng các quy trình khác không có quyền đọc ở cấp hệ điều hành đối với cơ sở dữ liệu hoặc tệp cấu hình của ứng dụng này.

Cài đặt giản đồ

Cài đặt	Sự miêu tả
cơ sở ĐN	Tên phân biệt gốc (DN) để sử dụng khi chạy các truy vấn đối với máy chủ thư mục. Ví dụ: o=example,c=com cn=users,dc=ad,dc=example,dc=com Đối với Microsoft Active Directory, chỉ định DN cơ sở theo định dạng sau: dc=domain1,dc=local. Bạn sẽ cần thay thế domain1và localcho cấu hình cụ thể của mình. Microsoft Server cung cấp một công cụ được gọi là công cụ ldp.exehữu ích để tìm hiểu và định cấu hình cấu trúc LDAP cho máy chủ của bạn.
Người dùng bổ sung DN	Giá trị này được sử dụng cùng với DN cơ sở khi tìm kiếm và tải người dùng. Nếu không có giá trị nào được cung cấp, quá trình tìm kiếm cây con sẽ bắt đầu từ DN cơ sở. Thí dụ: ou=Users
Nhóm bổ sung DN	Giá trị này được sử dụng cùng với DN cơ sở khi tìm kiếm và tải các nhóm. Nếu không có giá trị nào được cung cấp, quá trình tìm kiếm cây con sẽ bắt đầu từ DN cơ sở. Thí dụ: ou=Groups

Nếu không có giá trị nào được cung cấp cho DN người dùng bổ sung hoặc DN nhóm bổ sung , điều này sẽ khiến tìm kiếm cây con bắt đầu từ DN cơ sở và, trong trường hợp cấu trúc thư mục lớn, có thể gây ra sự cố hiệu suất cho đăng nhập và các hoạt động dựa vào đăng nhập được thực hiện .

cài đặt quyền

Lưu ý:  Bạn chỉ có thể chỉ định người dùng LDAP cho các nhóm cục bộ khi 'Quản lý người dùng bên ngoài' không được chọn.

Cài đặt	Sự miêu tả
Chỉ đọc	Người dùng, nhóm và tư cách thành viên LDAP được truy xuất từ ​​máy chủ thư mục của bạn và chỉ có thể được sửa đổi thông qua máy chủ thư mục của bạn. Bạn không thể sửa đổi người dùng, nhóm hoặc tư cách thành viên LDAP qua màn hình quản trị ứng dụng.
Chỉ đọc, với các nhóm cục bộ	Người dùng, nhóm và tư cách thành viên LDAP được truy xuất từ ​​máy chủ thư mục của bạn và chỉ có thể được sửa đổi thông qua máy chủ thư mục của bạn. Bạn không thể sửa đổi người dùng, nhóm hoặc tư cách thành viên LDAP qua màn hình quản trị ứng dụng. Tuy nhiên, bạn có thể thêm các nhóm vào thư mục nội bộ và thêm người dùng LDAP vào các nhóm đó. Lưu ý dành cho người dùng Confluence: Người dùng từ LDAP được thêm vào các nhóm được duy trì trong thư mục nội bộ của Confluence vào lần đầu tiên họ đăng nhập. Việc này chỉ được thực hiện một lần cho mỗi người dùng. Có một vấn đề đã biết với Read Only, với Local Groups in Confluence có thể áp dụng cho bạn. Thấy CONFSERVER-28621 - Người dùng mất tất cả Tư cách thành viên nhóm cục bộ nếu LDAP Sync không thể tìm thấy Người dùng, nhưng Người dùng lại xuất hiện trong các lần đồng bộ hóa tiếp theo ĐÓNG CỬA
Đọc viết	Người dùng, nhóm và tư cách thành viên LDAP được truy xuất từ ​​máy chủ thư mục của bạn. Khi bạn sửa đổi người dùng, nhóm hoặc tư cách thành viên qua màn hình quản trị ứng dụng, các thay đổi sẽ được áp dụng trực tiếp cho máy chủ thư mục LDAP của bạn. Đảm bảo rằng người dùng LDAP được chỉ định cho ứng dụng có quyền sửa đổi trên máy chủ thư mục LDAP của bạn.

Tự động thêm người dùng vào nhóm

Cài đặt

Sự miêu tả

Tư cách thành viên nhóm mặc định

Tùy chọn khả dụng trong Confluence 3.5 trở lên và JIRA 4.3.3 trở lên. Trường này xuất hiện nếu bạn chọn quyền 'Chỉ đọc, với Nhóm cục bộ'. Nếu bạn muốn người dùng tự động được thêm vào một nhóm hoặc nhiều nhóm, hãy nhập (các) tên nhóm tại đây. Để chỉ định nhiều nhóm, hãy phân tách các tên nhóm bằng dấu phẩy. Trong Confluence 3.5 đến Confluence 3.5.1: Mỗi khi người dùng đăng nhập, tư cách thành viên nhóm của họ sẽ được kiểm tra. Nếu người dùng không thuộc (các) nhóm được chỉ định, tên người dùng của họ sẽ được thêm vào (các) nhóm đó. Nếu một nhóm chưa tồn tại, nó sẽ được thêm vào cục bộ. Trong Confluence 3.5.2 trở lên và JIRA 4.3.3 trở lên:Lần đầu tiên người dùng đăng nhập, tư cách thành viên nhóm của họ sẽ được kiểm tra. Nếu người dùng không thuộc (các) nhóm được chỉ định, tên người dùng của họ sẽ được thêm vào (các) nhóm đó. Nếu một nhóm chưa tồn tại, nó sẽ được thêm vào cục bộ. Trong những lần đăng nhập tiếp theo, tên người dùng sẽ không được tự động thêm vào bất kỳ nhóm nào. Thay đổi về hành vi này cho phép người dùng bị xóa khỏi các nhóm được thêm tự động. Trong Confluence 3.5 và 3.5.1, chúng sẽ được thêm lại vào lần đăng nhập tiếp theo. Xin lưu ý rằng không có xác nhận của các tên nhóm. Nếu bạn nhập sai tên nhóm, sẽ xảy ra lỗi ủy quyền – người dùng sẽ không thể truy cập các ứng dụng hoặc chức năng dựa trên tên nhóm dự kiến. Ví dụ: confluence-users confluence-users,jira-administrators,jira-core-users

Cài đặt nâng cao

Cài đặt	Sự miêu tả
Kích hoạt các nhóm lồng nhau	Bật hoặc tắt hỗ trợ cho các nhóm lồng nhau. Một số máy chủ thư mục cho phép bạn xác định một nhóm là thành viên của một nhóm khác. Các nhóm trong một cấu trúc như vậy được gọi là các nhóm lồng nhau . Các nhóm lồng nhau đơn giản hóa các quyền bằng cách cho phép các nhóm con kế thừa các quyền từ nhóm chính.
Quản lý trạng thái người dùng cục bộ	Nếu đúng, bạn có thể kích hoạt và hủy kích hoạt người dùng trong Đám đông bất kể trạng thái của họ trong máy chủ thư mục.
Lọc ra những người dùng đã hết hạn	Nếu đúng, tài khoản người dùng được đánh dấu là đã hết hạn trong Active Directory sẽ tự động bị xóa. Đối với các thư mục được lưu trong bộ nhớ cache, việc xóa người dùng sẽ xảy ra trong lần đồng bộ hóa đầu tiên sau ngày hết hạn của tài khoản. Lưu ý : Tính năng này khả dụng trong Embedded Crowd 2.0.0 trở lên nhưng không có sẵn trong bản phát hành 2.0.0 m04.
Sử dụng kết quả được phân trang	Bật hoặc tắt việc sử dụng tiện ích mở rộng kiểm soát LDAP để phân trang đơn giản các kết quả tìm kiếm. Nếu phân trang được bật, tìm kiếm sẽ truy xuất các bộ dữ liệu thay vì tất cả các kết quả tìm kiếm cùng một lúc. Nhập kích thước trang mong muốn – nghĩa là số lượng kết quả tìm kiếm tối đa được trả về trên mỗi trang khi bật kết quả theo trang. Mặc định là 1000 kết quả.
Theo giới thiệu	Chọn có cho phép máy chủ thư mục chuyển hướng yêu cầu đến các máy chủ khác hay không. Tùy chọn này sử dụng cài đặt cấu hình giới thiệu nút (tra cứu JNDI java.naming.referral). Nó thường cần thiết cho các máy chủ Active Directory được định cấu hình mà không có DNS thích hợp, để ngăn lỗi 'javax.naming.PartialResultException: (Các) tham chiếu tiếp tục chưa được xử lý'.
Kết hợp DN ngây thơ	Nếu máy chủ thư mục của bạn sẽ luôn trả về một biểu diễn chuỗi nhất quán của một DN, thì bạn có thể bật khớp DN ngây thơ. Sử dụng kết hợp DN ngây thơ sẽ giúp cải thiện hiệu suất đáng kể, vì vậy chúng tôi khuyên bạn nên bật tính năng này nếu có thể. Cài đặt này xác định cách ứng dụng của bạn sẽ so sánh các DN để xác định xem chúng có bằng nhau hay không. Nếu hộp kiểm này được chọn, ứng dụng sẽ thực hiện so sánh chuỗi trực tiếp, không phân biệt chữ hoa chữ thường. Đây là cài đặt mặc định và được khuyên dùng cho Active Directory, vì Active Directory đảm bảo định dạng của DN. Nếu hộp kiểm này không được chọn, ứng dụng sẽ phân tích cú pháp DN và sau đó kiểm tra phiên bản đã phân tích cú pháp.
Kích hoạt đồng bộ hóa gia tăng	Bật đồng bộ hóa gia tăng nếu bạn chỉ muốn các thay đổi kể từ lần đồng bộ hóa cuối cùng được truy vấn khi đồng bộ hóa một thư mục. Xin lưu ý rằng khi sử dụng tùy chọn này, tài khoản người dùng được định cấu hình để đồng bộ hóa phải có quyền truy cập đọc vào: Thuộc  uSNChangedtính của tất cả người dùng và nhóm trong thư mục cần được đồng bộ hóa. Các đối tượng và thuộc tính trong bộ chứa đối tượng đã xóa Active Directory. Nếu ít nhất một trong những điều kiện này không được đáp ứng, bạn có thể kết thúc với việc những người dùng được thêm vào (hoặc bị xóa khỏi) Active Directory không được thêm (hoặc bị xóa) tương ứng trong ứng dụng. Cài đặt này chỉ khả dụng nếu loại thư mục được đặt thành "Microsoft Active Directory".
Cập nhật tư cách thành viên nhóm khi đăng nhập	Cài đặt này cho phép cập nhật tư cách thành viên nhóm trong quá trình xác thực và có thể được đặt thành các tùy chọn sau: Mỗi khi người dùng đăng nhập : trong quá trình xác thực, tư cách thành viên nhóm trực tiếp của người dùng sẽ được cập nhật để khớp với nội dung trong thư mục từ xa: Xóa người dùng khỏi tất cả các nhóm mà người dùng không còn thuộc về trong thư mục từ xa. Thêm người dùng vào tất cả các nhóm mà người dùng thuộc về trong thư mục từ xa. Các nhóm mới có tên và mô tả phù hợp sẽ được tạo cục bộ nếu cần. Nhóm sẽ chỉ chứa người dùng hiện tại và các tư cách thành viên khác sẽ được điền khi người dùng thuộc cùng một nhóm đăng nhập hoặc khi quá trình đồng bộ hóa diễn ra. Chỉ dành cho người dùng mới được thêm : khi người dùng mới đăng nhập lần đầu tiên, tư cách thành viên nhóm trực tiếp của người dùng sẽ được cập nhật để khớp với nội dung trong thư mục từ xa. Hãy xem xét rằng tư cách thành viên nhóm của người dùng sẽ chỉ được cập nhật nếu người dùng được tạo trong quá trình xác thực. Không bao giờ : trong quá trình xác thực, tư cách thành viên nhóm của người dùng sẽ không thay đổi, ngay cả khi trạng thái cục bộ không khớp với những gì trong điều khiển từ xa.
Khoảng thời gian đồng bộ hóa (phút)	Đồng bộ hóa là quá trình ứng dụng cập nhật kho dữ liệu người dùng nội bộ của nó để phù hợp với dữ liệu trên máy chủ thư mục. Ứng dụng sẽ gửi yêu cầu đến máy chủ thư mục của bạn sau mỗi x phút, trong đó 'x' là số được chỉ định ở đây. Giá trị mặc định là 60 phút.
Thời gian chờ đọc (giây)	Thời gian, tính bằng giây, để chờ nhận phản hồi. Nếu không có phản hồi trong khoảng thời gian đã chỉ định, nỗ lực đọc sẽ bị hủy bỏ. Giá trị 0 (không) có nghĩa là không có giới hạn. Giá trị mặc định là 120 giây.
Thời gian chờ tìm kiếm (giây)	Thời gian, tính bằng giây, để chờ phản hồi từ thao tác tìm kiếm. Giá trị 0 (không) có nghĩa là không có giới hạn. Giá trị mặc định là 60 giây.
Thời gian chờ kết nối (giây)	Cài đặt này ảnh hưởng đến hai hành động. Giá trị mặc định là 10. Thời gian chờ đợi khi nhận được kết nối từ nhóm kết nối. Giá trị 0 (không) có nghĩa là không có giới hạn, vì vậy hãy đợi vô thời hạn. Thời gian, tính bằng giây, để đợi khi mở các kết nối máy chủ mới. Giá trị 0 (không) có nghĩa là thời gian chờ của mạng TCP sẽ được sử dụng, có thể là vài phút.

Cài đặt lược đồ người dùng

Cài đặt	Sự miêu tả
Lớp đối tượng người dùng	Đây là tên của lớp được sử dụng cho đối tượng người dùng LDAP. Thí dụ: user
Bộ lọc đối tượng người dùng	Bộ lọc để sử dụng khi tìm kiếm đối tượng người dùng. Thí dụ: (&(objectCategory=Person)(sAMAccountName=*)) Nhiều ví dụ hơn có thể được tìm thấy trong cơ sở kiến ​​thức của chúng tôi. ThấyCách viết bộ lọc tìm kiếm LDAP.
Thuộc tính tên người dùng	Trường thuộc tính sẽ sử dụng khi tải tên người dùng . Ví dụ: cn sAMAccountName Lưu ý: Trong Active Directory, ' sAMAccountName ' là trường 'Tên Đăng nhập Người dùng (trước Windows 2000)'. Trường Tên Đăng nhập Người dùng được tham chiếu bởi ' cn '.
Tên người dùng Thuộc tính RDN	RDN (tên phân biệt tương đối) để sử dụng khi tải tên người dùng . DN cho mỗi mục nhập LDAP bao gồm hai phần: RDN và vị trí trong thư mục LDAP chứa bản ghi. RDN là một phần trong DN của bạn không liên quan đến cấu trúc cây thư mục. Thí dụ: cn
Thuộc tính tên người dùng	Trường thuộc tính sẽ sử dụng khi tải tên của người dùng. Thí dụ: givenName
Thuộc tính Họ của Người dùng	Trường thuộc tính sẽ sử dụng khi tải họ của người dùng. Thí dụ: sn
Thuộc tính tên hiển thị của người dùng	Trường thuộc tính sẽ sử dụng khi tải tên đầy đủ của người dùng. Thí dụ: displayName
Thuộc tính email người dùng	Trường thuộc tính sẽ sử dụng khi tải địa chỉ email của người dùng. Thí dụ: mail
Thuộc tính mật khẩu người dùng	Trường thuộc tính sẽ sử dụng khi tải mật khẩu của người dùng. Thí dụ: unicodePwd
Thuộc tính ID duy nhất của người dùng	Thuộc tính được sử dụng làm định danh bất biến duy nhất cho các đối tượng người dùng. Điều này được sử dụng để theo dõi các thay đổi tên người dùng và là tùy chọn. Nếu thuộc tính này không được đặt (hoặc được đặt thành giá trị không hợp lệ), việc đổi tên người dùng sẽ không được phát hiện — chúng sẽ được hiểu là xóa người dùng sau đó thêm người dùng mới. Điều này thường sẽ trỏ đến một giá trị UUID. Các máy chủ LDAP tuân thủ tiêu chuẩn sẽ triển khai điều này dưới dạng ' entryUUID ' theo  RFC 4530 . Cài đặt này tồn tại vì nó được biết dưới các tên khác nhau trên một số máy chủ, ví dụ: ' objectGUID ' trong Microsoft Active Directory.

Cài đặt lược đồ nhóm

Cài đặt	Sự miêu tả
Lớp đối tượng nhóm	Đây là tên của lớp được sử dụng cho đối tượng nhóm LDAP. Ví dụ: groupOfUniqueNames group
Bộ lọc đối tượng nhóm	Bộ lọc để sử dụng khi tìm kiếm đối tượng nhóm. Thí dụ: (&(objectClass=group)(cn=*))
Thuộc tính tên nhóm	Trường thuộc tính sẽ sử dụng khi tải tên của nhóm. Thí dụ: cn
Thuộc tính mô tả nhóm	Trường thuộc tính sẽ sử dụng khi tải mô tả của nhóm. Thí dụ: description

Cài đặt lược đồ thành viên

Cài đặt	Sự miêu tả
Thuộc tính thành viên nhóm	Trường thuộc tính sẽ sử dụng khi tải các thành viên của nhóm. Thí dụ: member
Thuộc tính thành viên người dùng	Trường thuộc tính sẽ sử dụng khi tải các nhóm của người dùng. Thí dụ: memberOf
Sử dụng Thuộc tính tư cách thành viên của người dùng, khi tìm tư cách thành viên nhóm của người dùng	Kiểm tra điều này nếu máy chủ thư mục của bạn hỗ trợ thuộc tính thành viên nhóm trên người dùng. (Theo mặc định, đây là memberOfthuộc tính ''.) Nếu hộp kiểm này được chọn, ứng dụng của bạn sẽ sử dụng thuộc tính thành viên nhóm đối với người dùng khi truy xuất danh sách các nhóm mà một người dùng nhất định thuộc về . Điều này sẽ dẫn đến việc truy xuất hiệu quả hơn. Nếu hộp kiểm này không được chọn, ứng dụng của bạn sẽ sử dụng thuộc tính thành viên trên nhóm (' member' theo mặc định) để tìm kiếm. Nếu hộp kiểm Bật các nhóm lồng nhau được chọn, ứng dụng của bạn sẽ bỏ qua tùy chọn Sử dụng thuộc tính thành viên người dùng và sẽ sử dụng thuộc tính thành viên trên nhóm để tìm kiếm.
Sử dụng Thuộc tính thành viên người dùng, khi tìm thành viên của một nhóm	Kiểm tra điều này nếu máy chủ thư mục của bạn hỗ trợ thuộc tính thành viên người dùng trong nhóm. (Theo mặc định, đây là memberthuộc tính ''.) Nếu hộp kiểm này được chọn, ứng dụng của bạn sẽ sử dụng thuộc tính thành viên nhóm đối với người dùng khi truy xuất thành viên của một nhóm nhất định . Điều này sẽ dẫn đến một tìm kiếm hiệu quả hơn. Nếu hộp kiểm này không được chọn, ứng dụng của bạn sẽ sử dụng thuộc tính thành viên trên nhóm (' member' theo mặc định) để tìm kiếm.

Sơ đồ của một số cấu hình có thể

Sơ đồ: Jira kết nối với một thư mục LDAP.

Sơ đồ: Jira kết nối với thư mục LDAP với quyền được đặt thành chỉ đọc và các nhóm cục bộ.