用户需要进入【管理系统>系统设置>权限管理系统】配置中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。
当用户选择LDAP同步&文件权限管理系统时,可以通过配置LDAP服务器与权限系统的对应关系,对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统,并赋予资源和操作的权限,如下图所示。
1.服务器配置
服务器配置属性说明如下:
属性 |
说明 |
|---|---|
URL |
LDAP服务器的url,一般格式为服务器的url:port |
每页条目数 |
每页可以导入的条目数,这个值是根据LDAP的用户总数由用户自行设定的,可以设置为500或者1000 |
用户名 |
登录LDAP的用户名称 |
密码 |
登录LDAP的密码 |
识别名 |
需要进行同步的LDAP中的用户/组织的识别名(DN,Distinguished Name),决定了同步的范围。 可以点击添加节点添加多个识别名,但是多个识别名不能重复或互相包含 |
2.用户/组/角色属性配置
用户属性配置属性说明如下:
属性 |
说明 |
|---|---|
ObjectClass |
LDAP对象类,是LDAP内置的数据模型,比如inetOrgPerson对象类。每种objectClass有自己的数据结构,比如“用户”的objectClass,会内置很多属性(attributes),如用户名(name),密码(password),电话(mobile)等;所有拥有此对象类的数据将会被当做一个用户条目来解析 |
UID |
用户的uid对应item中的file的名称的映射。 ➢例如:将LDAP条目中的“name”属性作为UID时,同步进系统后,“name”属性的值将对应系统中用户的用户名。 |
属性配置 |
本地属性可支持的选择项为:区号,手机,角色,密码,昵称,操作类型,禁用,组,邮箱。 LDAP属性可支持任意输入LDAP中的属性作为分组进行同步。 ➢注意: •字段“组”:将LDAP中的属性同步为系统中用户的分组,当前组中存在相应的名称的组就使用该组,如果不存在就新建组;组属性字段用“/”作为组分层符;输入多个组需要以“;”或“,”区分;未添加组属性时,默认采用将ou同步为组逻辑。 •字段“禁用”:用来将LDAP中的指定字段同步为系统中用户是否禁用的状态,选择的LDAP属性值支持布尔类型或数值类型,可以将1或true同步为已禁用,0或false同步为未禁用。 |
属性过滤 |
通过对LDAP属性的条件设定,对导入的数据进行过滤。 其中关系式条件包含:=,≠,≥,≤。 例:属性配置中本地属性配置为“组”,LDAP属性配置为“sn”,属性过滤中LDAP属性为“sn”关系是为“=”过滤条件为“1”。同步应用后,生成名称为“1”的组。 |
组属性和角色属性配置界面同用户属性配置。
3. 高级设置
高级设置属性说明如下:
属性 |
说明 |
|---|---|
自定义转化器 |
给定制转化器预留的接口 |
自定义同步器 |
给定制同步器预留的接口 |
自定义认证器 |
自定义认证器:有2种方式,即:g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后,产品将使用LDAP服务器的密码进行认证登录 g5.secure.fs.LDAP.impl.DefAuthenor表示同步后,产品将使用LDAP与产品的匹配字段作为密码进行认证登录 V8.5.1之前默认为:g5.secure.fs.LDAP.impl.DefAuthenor,V8.5.1之后默认为:g5.secure.fs.LDAP.impl.LDAPAuthenor |
定时同步设置 |
点击定时同步的输入框可在下拉列表中选择定时同步的时间,选择后,每天的这个时间系统都会自动与LDAP服务器进行同步。 |
手动同步 |
配置好属性后,手动点击同步LDAP,系统则会按照配置好的对应关系进行同步。同步时,下方会自动显示LDAP同步的日志。点击右侧的查看LDAP同步日志可以显示或隐藏LDAP同步日志。 |
4. LDAP配置说明
•同步结构
通过属性ldap.ou.separate 来控制是否识别目标DN的节点位置。
当ldap.ou.separate=true时,会识别目标DN所处的分组将其整个目录结构同步进系统,再将目标DN和其中的子节点同步到对应节点的位置;
当ldap.ou.separate=false时,会将目标DN和其中的内容全都同步到根目录。
➢注意:仅配置用户属性时,可以将用户同步到组中,如果配置了组的属性,会单独把组进行同步而不会同步用户和组的关系。
•存量同步
如果ldap已经同步过一次,再次进行同步时,称为“存量同步”。通过属性ldap.group.synchronize 来控制ldap中的用户属性是否覆盖产品中的用户属性,默认值为true。
ldap.group.synchronize = true 表示进行存量同步时,如果配置了产品与ldap的匹配属性时,ldap中的该属性值会覆盖产品中对应的属性值。
➢例如:
1)配置了产品中的“邮箱”和ldap中的属性“email”匹配,再进行存量同步时,ldap中的email属性值会覆盖产品中的邮箱配置。
2)ldap中存在用户user1,路径在People下。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组又变为了People。
ldap.group.synchronize = false 表示进行存量同步时,如果配置了产品与ldap的匹配属性时,ldap中的该属性值不会覆盖产品中对应的属性值,即:保留产品中的属性值。
➢例如:
1)配置了产品中的“邮箱”和ldap中的属性“email”匹配,再进行存量同步时,ldap中的email属性值不会覆盖产品中的邮箱配置。
2)ldap中存在用户user1,路径在People下。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组仍然为group1。
➢注意:
ldap同步时不会校验邮箱和密码的合法性,即:即使邮箱和密码不填或不合法也可以同步成功。
ldap用户的名称不可以修改。
➢例如:将ldap用户“user1”的名称改为“user2”,点击保存,会提示:LDAP用户不能修改用户名。