Jenkins + SonarQube 从原理到实战三：SonarQube 打通 Windows AD（LDAP）认证与踩坑记录

前言

在前两篇文章中，已经介绍了 SonarQube 的部署 以及 通过 sonar-cxx 插件实现 C/C++ 代码扫描。
本篇将重点讲 如何让 SonarQube 对接 Windows AD（LDAP），实现域账号登录和基于 AD 组的权限管理。

一、背景与需求分析

需求分析

在原有环境中，代码流转流程是这样的：

• 开发在 Gerrit 提交代码
• Jenkins 节点定时或按需触发自定义脚本扫描问题，并执行编译

新需求：

1. 在编译之前，先扫描一次代码（或编译+扫描同步进行）
2. 项目相关人员 能直接登录 SonarQube 查看代码问题并修复
3. 非项目相关人员 无法访问该项目（权限管控）

权限模型简述

SonarQube 的权限是项目级的，可以通过：

• 将项目设为 私有
• 给特定 用户组 或 成员 分配访问所需权限

经测试，权限如下：

所以这里无法单独给项目设组管理员去维护组成员，但可以配置 项目管理员，由其对相关组或用户进行权限管理 。

碰巧目前我司项目是由 部门/组 进行划分，并且 Windows AD 上早已为这些成员配置了 AD 组 ，所以只需要在项目上设 私有 并且给相应的组配置好权限，让 LADP 将要组人员信息同步过来，那就可以减少一部分的人为操作管理。

二、Windows AD 集成

旧版本 SonarQube 需要额外安装 LDAP 插件，而 9.9 LTS 版本（我是用的版本）已经内置了 LDAP 支持。

官方参考文档：

• SonarQube 9.9 LDAP 配置文档
  这篇文档，详细介绍了 LDAP 怎么连接、使用、配置参数等，如：
  ldap.url这个参数是指 ldap 的连接地址
• SonarQube 环境变量配置文档
  但使用的是 k8s ，即容器，该文档介绍了 SonarQube 容器可使用哪些 env 参数。

配置思路

由于我是在 Kubernetes 环境运行 SonarQube，所以我选择：

• 数据库配置与 LDAP 配置都放到 Secret 中，避免明文写在 Deployment YAML
• Deployment 通过 envFrom 读取 Secret

原 Deployment（明文写环境变量）

...
containers:
- name: sonarqubeimage: sonarqube:lts-communityenv:- name: TZvalue: 'Asia/Shanghai'- name: SONAR_JDBC_URLvalue: jdbc:postgresql://postgresql:5432/sonar- name: SONAR_JDBC_USERNAMEvalue: sonar- name: SONAR_JDBC_PASSWORDvalue: sonar- name: SONAR_WEB_JVM_OPTSvalue: "-Xmx2G -Xms1G -XX:+HeapDumpOnOutOfMemoryError"
...

新 Deployment（调用 Secret）

...
containers:
- name: sonarqubeimage: sonarqube:lts-communityenv:- name: TZvalue: 'Asia/Shanghai'- name: SONAR_WEB_JVM_OPTSvalue: "-Xmx2G -Xms1G -XX:+HeapDumpOnOutOfMemoryError"envFrom:- secretRef:name: sonar-secret
...

Secret 配置（secret.yaml）

apiVersion: v1
kind: Secret
metadata:name: sonar-secretnamespace: sonar
type: Opaque
stringData:SONAR_JDBC_URL: "jdbc:postgresql://postgresql:5432/sonar"SONAR_JDBC_USERNAME: "sonar"SONAR_JDBC_PASSWORD: "sonar"SONAR_SECURITY_REALM: "LDAP"                      # 启用 LDAP 认证SONAR_AUTHENTICATOR_DOWNCASE: "true"                 # 登录名转小写，防止大小写问题LDAP_URL: "ldap://192.168.1.1:389"                  # AD/LDAP 服务器地址（可改成 ldaps:// ）LDAP_BINDDN: "CN=sonar,OU=User,OU=AA,DC=aa,DC=com"LDAP_BINDPASSWORD: "sonar"                 # 绑定账号密码LDAP_AUTHENTICATION: "simple"                      # 认证方式，一般 simple 就够LDAP_REALM: "aa.com"                          # 可选，用于某些 Digest 认证LDAP_CONTEXTFACTORYCLASS: "com.sun.jndi.ldap.LdapCtxFactory" # LDAP Java 工厂类LDAP_STARTTLS: "false"                              # 是否启用 StartTLS（不是 SSL）LDAP_FOLLOWREFERRALS: "false"                       # 是否跟随 LDAP 引用LDAP_USER_BASEDN: "OU=AA,DC=aa,DC=com"      # 用户搜索起始 DNLDAP_USER_REQUEST: "(&(objectClass=user)(sAMAccountName={login}))" # 用户搜索过滤条件LDAP_USER_REALNAMEATTRIBUTE: "cn"                   # 用户真实姓名属性LDAP_USER_EMAILATTRIBUTE: "mail"                    # 用户邮箱属性LDAP_GROUP_BASEDN: "OU=Groups,DC=aa,DC=com"    # 组搜索起始 DNLDAP_GROUP_REQUEST: "(&(objectClass=group)(member={dn}))" # 组搜索过滤条件LDAP_GROUP_IDATTRIBUTE: "sAMAccountName"            # 组 ID 属性

参数解释

小贴士：
LDAP_BINDDN 格式：

CN=sonar,OU=User,OU=AA,DC=aa,DC=com

表示 aa.com 域下 AA → User 组织单位中的 sonar 用户。

部署与验证

kubectl delete -f sonarqube.yaml
kubectl apply -f secret.yaml && kubectl apply -f sonarqube.yaml

常见启动失败原因：

1. 数据库连接信息错误
2. LDAP 账号/密码错误
3. DN 路径拼写错误
4. 网络防火墙拦截 LDAP 端口

若访问有问题，kubectl logs 看下启动日志，一般就以上问题。

然后使用 AD 域账号浏览器登录 SonarQube ，成功登录即加域成功。

三、AD 组同步的坑

经测试 + 官方声明，发现 SonarQube 是 不会直接把 AD 组以及组内成员同步系统上 。

可以在 SonarQube 上面新建同名 AD 组，重启系统进行同步，当然会存在一些 限制 ：

• 组不会自动同步成员

  • 只有当成员首次登录 SonarQube 后，系统才会将该成员加入对应组。
  • 并且 SonarQube 新建同名组，还得重启服务器生效 。

• 组删除成员不实时

  • AD 组删除成员，SonarQube 上面同名组并不会实时删除。
  • 需要重启 SonarQube，并且该成员重新登录后，才会被移出组。

• 多层组结构问题

  • 如果 AD 中 A 组包含 B 组，B 组里有成员 C，SonarQube 不会识别成员 C 属于 A 组

实际同步流程：

1. 新建 SonarQube 组（与 AD 组同名）
2. 重启 SonarQube
3. AD 组成员登录一次
4. 该成员才会被加入组

总结

正式上线前，给 AD 组配置同名组，并给这个同名组配好相关权限。并由 项目管理员 去配置项目权限。

后续 AD 账号登录 SonarQube 就自动加入对应组，即上线就有相应权限。

后续优化：
目前在新建 AD 同名组以及删除 AD 域控上组成员，都必须要重启 SonarQube 服务且 AD 用户重新登录才生效，后续看能不能通过调用 SonarQube 的 API 实现实时权限变更（通过调用 Gerrit/Jenkins 的 API 进行信息匹对）。

当然，也要看正式上线后大家反馈的问题，若有强烈的实时同步需求，就按上面方式进行优化。

下一篇将更新 SonarQube 如何打通 Jenkins。