管理系统 > 认证授权

用户需要进入【管理系统>系统设置>权限管理系统】配置中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。

当用户选择LDAP同步&文件权限管理系统时，可以通过配置LDAP服务器与权限系统的对应关系，对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统，并赋予资源和操作的权限，如下图所示。

clip0413

1.服务器配置

服务器配置属性说明如下：

属性	说明
URL	LDAP服务器的url，一般格式为服务器的url:port
每页条目数	每页可以导入的条目数，这个值是根据LDAP的用户总数由用户自行设定的，可以设置为500或者1000
用户名	登录LDAP的用户名称
密码	登录LDAP的密码
识别名	需要进行同步的LDAP中的用户/组织的识别名（DN，Distinguished Name），决定了同步的范围。可以点击添加节点添加多个识别名，但是多个识别名不能重复或互相包含

2.用户/组/角色属性配置

clip0018

用户属性配置属性说明如下：

属性	说明
ObjectClass	LDAP对象类，是LDAP内置的数据模型，比如inetOrgPerson对象类。每种objectClass有自己的数据结构，比如“用户”的objectClass，会内置很多属性(attributes)，如用户名(name)，密码(password)，电话(mobile)等；所有拥有此对象类的数据将会被当做一个用户条目来解析
UID	用户的uid对应item中的file的名称的映射。 ➢例如：将LDAP条目中的“name”属性作为UID时，同步进系统后，“name”属性的值将对应系统中用户的用户名。
属性配置	系统属性和LDAP属性的对应关系，如下图所示：

属性

说明

ObjectClass

LDAP对象类，是LDAP内置的数据模型，比如inetOrgPerson对象类。每种objectClass有自己的数据结构，比如“用户”的objectClass，会内置很多属性(attributes)，如用户名(name)，密码(password)，电话(mobile)等；所有拥有此对象类的数据将会被当做一个用户条目来解析

UID

用户的uid对应item中的file的名称的映射。

➢例如：将LDAP条目中的“name”属性作为UID时，同步进系统后，“name”属性的值将对应系统中用户的用户名。

属性配置

系统属性和LDAP属性的对应关系，如下图所示：

clip0338

组属性和角色属性配置界面同用户属性配置。

3. 高级设置

LDAP_Professional

高级设置属性说明如下：

属性	说明
自定义转化器	给定制转化器预留的接口
自定义同步器	给定制同步器预留的接口
自定义认证器	自定义认证器：有2种方式，即：g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后，产品将使用LDAP服务器的密码进行认证登录 g5.secure.fs.LDAP.impl.DefAuthenor表示同步后，产品将使用LDAP与产品的匹配字段作为密码进行认证登录 V8.5.1之前默认为：g5.secure.fs.LDAP.impl.DefAuthenor，V8.5.1之后默认为：g5.secure.fs.LDAP.impl.LDAPAuthenor
定时同步设置	点击定时同步的输入框可在下拉列表中选择定时同步的时间，选择后，每天的这个时间系统都会自动与LDAP服务器进行同步。
手动同步	配置好属性后，手动点击同步LDAP，系统则会按照配置好的对应关系进行同步。同步时，下方会自动显示LDAP同步的日志。点击右侧的查看LDAP同步日志可以显示或隐藏LDAP同步日志。

4. LDAP配置说明

•同步结构

通过属性ldap.ou.separate 来控制是否识别目标DN的节点位置。

当ldap.ou.separate=true时，会识别目标DN所处的分组将其整个目录结构同步进系统，再将目标DN和其中的子节点同步到对应节点的位置；

当ldap.ou.separate=false时，会将目标DN和其中的内容全都同步到根目录。

➢注意：仅配置用户属性时，可以将用户同步到组中，如果配置了组的属性，会单独把组进行同步而不会同步用户和组的关系。

•存量同步

如果ldap已经同步过一次，再次进行同步时，称为“存量同步”。通过属性ldap.group.synchronize 来控制ldap中的用户属性是否覆盖产品中的用户属性，默认值为true。

ldap.group.synchronize = true 表示进行存量同步时，如果配置了产品与ldap的匹配属性时，ldap中的该属性值会覆盖产品中对应的属性值。

➢例如：

1）配置了产品中的“邮箱”和ldap中的属性“email”匹配，再进行存量同步时，ldap中的email属性值会覆盖产品中的邮箱配置。

2）ldap中存在用户user1，路径在People下。首次同步时，将user1同步到产品中，其父组为People。在产品中将user1的父组调整为group1，再进行存量同步，user1的父组又变为了People。

ldap.group.synchronize = false 表示进行存量同步时，如果配置了产品与ldap的匹配属性时，ldap中的该属性值不会覆盖产品中对应的属性值，即：保留产品中的属性值。

➢例如：

1）配置了产品中的“邮箱”和ldap中的属性“email”匹配，再进行存量同步时，ldap中的email属性值不会覆盖产品中的邮箱配置。

2）ldap中存在用户user1，路径在People下。首次同步时，将user1同步到产品中，其父组为People。在产品中将user1的父组调整为group1，再进行存量同步，user1的父组仍然为group1。

➢注意：

ldap同步时不会校验邮箱和密码的合法性，即：即使邮箱和密码不填或不合法也可以同步成功。

ldap用户的名称不可以修改。

➢例如：将ldap用户“user1”的名称改为“user2”，点击保存，会提示：LDAP用户不能修改用户名。