你可以为你的 Confluence 连接 LDAP 服务器使用使用委托认证。这个意思是 Confluence 将会设置一个内部目录，这个目录仅被用来处理 LDAP 的授权。 这个设置将会为尝试登录系统的用户在本创建一个用户名。   一个使用 LDAP 认证的内部目录，通常是一个让你能通过 LDAP 存储和检查用户密码的配置。请注意使用 LDAP 授权内部目录（internal directory with LDAP authentication）与系统的内部目录是分开存储的。在所有的 LDAP 目录上，不检查用户的登录授权。LDAP 的连接是只读的。所有使用 LDAP 授权内部目录的用户必须映射到 LDAP 目录上，否则这些用户将不能登录系统。 什么时候使用这个选项：如果你希望为你的应用程序配置用户和用户组来适应你应用程序的配置选项。这个选项将会从 LDAP 上检查用户的登录密码。这个选项将会避免从 LDAP 服务器上下载大量用户和用户组导致的性能问题。   https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+Internal+Directory+with+LDAP+Authentication

为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书，这个存储信任证书的文件称为一个 keystore。默认的 keystore 文件被称为 cacerts 同时存储在你安装的Java 的 jre\lib\security 子目录下面。 在下面的示例中，我们使用 server-certificate.crt 代表这个文件是你从目录服务器上导出的文件。如果你的导出文件的名字不同的话，你需要在下面的安装示例中替换使用不同的名字。 当证书按照下面的步骤安装完全后，你需要重新启动你的应用服务器来让你的配置生效。 Mac OS X 导航到你的 Java 安装目录下面。通常的安装路径是： cd /Library/Java/Home 运行下面的命令，server-certificate.crt 是你目录服务器上导出的文件名： sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt keytool 将会提示你输入密码。默认的密码是 changeit。 当提示 Trust this certificate? [no]: 输入 yes 来确定你的 Key 的导入： Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore 如果你的 LDAP 服务器使用了 SSL 的话你可能需要修改 'URL' 选项 （例如： ldaps://<HOSTNAME>:636/）和同时使用 Secure SSL 来让你的应用服务器连接 LDAP 服务器。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书，这个存储信任证书的文件称为一个 keystore。默认的 keystore 文件被称为 cacerts 同时存储在你安装的Java 的 jre\lib\security 子目录下面。 在下面的示例中，我们使用 server-certificate.crt 代表这个文件是你从目录服务器上导出的文件。如果你的导出文件的名字不同的话，你需要在下面的安装示例中替换使用不同的名字。 当证书按照下面的步骤安装完全后，你需要重新启动你的应用服务器来让你的配置生效。 UNIX 导航到你的 Java 安装目录下面。如果你使用的是默认的 JAVA 安装的话，你可以使用下面的命令： cd $JAVA_HOME 运行下面的命令，server-certificate.crt 是你目录服务器上导出的文件名： sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt keytool 将会提示你输入密码。默认的密码是 changeit。 当提示 Trust this certificate? [no]: 输入 yes 来确定你的 Key 的导入： Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore 如果你的 LDAP 服务器使用了 SSL 的话你可能需要修改 'URL' 选项 （例如： ldaps://<HOSTNAME>:636/）和同时使用 Secure SSL 来让你的应用服务器连接 LDAP 服务器。

为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书，这个存储信任证书的文件称为一个 keystore。默认的 keystore 文件被称为 cacerts 同时存储在你安装的Java 的 jre\lib\security 子目录下面。 在下面的示例中，我们使用 server-certificate.crt 代表这个文件是你从目录服务器上导出的文件。如果你的导出文件的名字不同的话，你需要在下面的安装示例中替换使用不同的名字。 当证书按照下面的步骤安装完全后，你需要重新启动你的应用服务器来让你的配置生效。 Windows 导航到你的 Java 安装目录下面。Java 的安装目录可能位于类似下面的路径 C:\Program Files\Java\jdk1.5.0_12. cd /d C:\Program Files\Java\jdk1.5.0_12 运行下面的命令，server-certificate.crt 是你目录服务器上导出的文件名： keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt keytool 将会提示你输入密码。默认的密码是 changeit。 当提示 Trust this certificate? [no]: 输入 yes 来确定你的 Key 的导入： Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore 如果你的 LDAP 服务器使用了 SSL 的话你可能需要修改 'URL' 选项 （例如： ldaps://<HOSTNAME>:636/）和同时使用 Secure SSL 来让你的应用服务器连接 LDAP 服务器。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

上面的步骤说明了如何在你的 Microsoft Active Directory服务器上安装 certification authority （CA）。这一步，你需要为你的 Microsoft Active Directory 服务器的 SSL 证书添加到你运行应用程序中可以接受的证书列表上。 Active Directory 证书将会自动创建并且保存在服务器的 C 盘上面，与你 Active Directory 服务器上的目录结构对应。例如：c:\ad2008.ad01.atlassian.com_ad01.crt 你可以通过在服务器上执行下面的命令，将服务器的证书导出： certutil -ca.cert client.crt 你可能对上面的证书文件进行授权的时候出现错误。在这种情况下，Microsoft's LDAP over SSL (LDAPS) Certificate 页面可能会帮到你。请注意你需要： 选择 "No, do not export the private key" 在 Exporting the LDAPS Certificate and Importing for use with AD DS 界面的第 10 步。 选择 "DER encoded binary X.509 (.CER)" 在 Exporting the LDAPS Certificate and Importing for use with AD DS 部分的第11步，这个文件将会在下面的步骤中用到。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

如果证书服务器已经安装了的话，跳过这一步骤，直接进入下一步。下面步骤中的屏幕截图是从 Windows 2008 服务器版上安装的截图，针对 2000 和 2003 安装过程是一样的。 作为系统管理员登录你的 Active Directory 服务器。 单击 开始（Start），指向管理员工具（Administrative Tools），然后单击 服务器管理（Server Manager）。 在规则摘要选项（Roles Summary），单击添加规则（Add Roles）。 在选择服务器角色（Select Server Roles）页面，选择活动目录证书服务（Active Directory Certificate Services）前面的选择对话框，然后单击下一步（Next）两次。 在选择角色服务（Select Role Services）页面，选择证书授权（Certification Authority）前面的选择对话框，然后单击下一步（Next）。  在指定设置类型（ Specify Setup Type）页面，单击企业（Enterprise），然后单击下一步（Next）。 在指定 CA（Specify CA Type） 类型页面，单击根 CA （Root CA），然后单击下一步（Next）。 在设置私钥（ Set Up Private Key）和为 CA 配置加密算法（Configure Cryptography for CA）页面，你可以配置可选的配置选项，包括服务器提供的加密算法，一般来说默认的配置就可以了。 在为 CA 指定通用名（ Common name for this CA）对话框中，输入 CA 的通用名，然后单击下一步（Next）。 在设定有效期（Set Validity Period）页面，你可以选择接受默认的值或者为存储证书指定其他的存储路径，证书数据库日志等，然后单击下一步（Next）。 在确定安装选项（Confirm Installation Selections）页面确定完成所有的校验信息后，单击安装（Install）。 在结果预览页面中，预览所有的安装选项，并且校验安装以及成功完成了。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

希望生成证书，你需要安装下面的组件在你希望连接的 Windows Domain Controller 上。 Internet Information Services (IIS) 在你安装 Windows Certificate Services 之前，你需要安装这个组件。 Windows Certificate Services 这个将会按照一个证书授权 （certification authority (CA) ），如何安装这个授权，将会在下面的第一步中详细说明。 Windows 2000 Service Pack 2 如果你使用的是 Windows 2000，你将需要安装这个组件。 Windows 2000 High Encryption Pack (128-bit) 如果你使用的是 Windows 200，这个提供更高层次的加密级别（128-bit）。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

如果你希望配置 Microsoft Active Directory 的读写权限，你需要在你的 Confluence 服务器和JVM keystore 上安装 Active Directory 服务器生成的 SSL 证书。 Confluence SSL plugin 插件有助于完成这个功能。 在 Active Directory 中更新用户，用户组和用户组成员需要你的 Atlassian 应用程序运行的 JVM 信任你连接的 Active Directory 服务器。 要达成这个目的，你需要在你的 Active Directory 服务器上生成一个证书，然后将这个证书导入到 Java 的 keystore 中。 https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

初始连接池大小（Initial Pool Size） 当初始化 LDAP 连接池的时候初始化创建的 LDAP 连接数量。 1 期望的连接池大小（Preferred Pool Size） 优化连接池的大小。 当 LDAP 中的连接数量大于这个值的时候，LDAP 连接池将会从连接池中删除掉闲置的连接。当这个值设置为 0 的时候表示的是没有期望的连接大小，那么闲置连接数将不会进行限制。 10 最大连接池大小（Maximum Pool Size） LDAP 连接池中维护的最大连接数量。 当连接池中的连接数达到这个值的时候，LDAP 将会拒绝进行连接。在这种情况下，请求 LDAP 查询的应用程序将会被阻止。 当这个值设置为 0 的时候，表示连接池的最大连接数不限制。 0 连接池超时时间（秒）（Pool Timeout (seconds)） 闲置连接在连接池中删除的时间，单位为秒。意思是，当一个连接在连接池中限制了指定的额时间（单位：秒）后，将会在连接池中删除。 当一个连接池的连接完成指定操作后，连接池将会把这个连接标记为闲置等待下一次的调用。 当这个值设置为 0 的时候，表示的是闲置的连接永远不会超时。 30 连接池协议（Pool Protocol） 只有下面的协议类型被允许来连接 LDAP 目录服务器。如果你希望使用多种协议，输入你希望使用的协议并用空格分开，可以用的值如下： plain ssl plain ssl （同时使用 plain 和 ssl） 连接池授权（Pool Authentication） 只有下面的授权类型被允许连接 LDAP 服务器。如果你希望使用多种授权，输入你希望使用的授权协议并用空格分开。请参考 RFC 2829 来获得 LDAP 授权方法。可用的值如下： none simple DIGEST-MD5 simple 注意： 连接池设置为系统全局设置，系统将会为每一个配置的 LDAP 目录服务器创建一个新的连接池。 你必须通过重启应用服务器能让这些设置生效。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+the+LDAP+Connection+Pool

当 LDAP 连接池被启用后，LDAP 目录服务器将会维护一个连接池同时当必要的时候指派他们。当一个连接关闭后，这个连接将会放回到连接池中供以后进行使用。这种设置将会有效的提高系统性能。   希望配置 LDAP 连接池： 在屏幕的右上角单击 控制台按钮 ，然后选择 General Configuration 链接。 单击左侧边栏上的 用户目录（User Directories）。 在更多配置选项部分，单击 LDAP 连接池配置（LDAP Connection Pool Configuration）。 https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+the+LDAP+Connection+Pool