<< Click to Display Table of Contents >> LDAP配置 |
用户需要进入管理系统->系统设置->权限管理系统配置中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。
当用户选择LDAP同步&文件权限管理系统时,可以通过配置LDAP服务器与权限系统的对应关系,对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统,并赋予资源和操作的权限,如下图所示。
❖服务器配置
【URL】LDAP服务器的url,一般格式为服务器的url:port;
【每页条目数】每页可以导入的条目数,这个值是根据LDAP的用户总数由用户自行设定的,可以设置为500或者1000;
【用户名】登录LDAP的用户名称;
【密码】登录LDAP的密码;
【域名】LDAP服务器的域名,比如:dc=yonghongtech,dc=com。
❖用户属性配置
【ObjectClass】LDAP对象类,是LDAP内置的数据模型,比如inetOrgPerson对象类。每种objectClass有自己的数据结构,比如“用户”的objectClass,会内置很多属性(attributes),如用户名(name),密码(password),电话(mobile)等;所有拥有此对象类的数据将会被当做一个用户条目来解析;
【UID】用户的uid对应item中的file的名称的映射。比如:将LDAP条目中的“name”属性作为UID时,同步进系统后,“name”属性的值将对应系统中用户的用户名;
【属性配置】系统属性和LDAP属性的对应关系,如下图所示。
❖组属性配置
同用户属性配置
❖角色属性配置
同用户属性配置
❖高级设置
自定义转化器:给定制转化器预留的接口;
自定义同步器:给定制同步器预留的接口;
自定义认证器:有2种方式,即:g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor。
g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后,产品将使用LDAP服务器的密码进行认证登录;
g5.secure.fs.LDAP.impl.DefAuthenor表示同步后,产品将使用LDAP与产品的匹配字段作为密码进行认证登录;
V8.5.1之前默认为:g5.secure.fs.LDAP.impl.DefAuthenor,V8.5.1之后默认为:g5.secure.fs.LDAP.impl.LDAPAuthenor。
❖定时同步设置
点击定时同步的输入框可在下拉列表中选择定时同步的时间,选择后,每天的这个时间系统都会自动与LDAP服务器进行同步。
❖手动同步
配置好属性后,手动点击同步LDAP,系统则会按照配置好的对应关系进行同步。同步时,下方会自动显示LDAP同步的日志。
❖存量同步
如果ldap已经同步过一次,再次进行同步时,称为“存量同步”。通过属性:ldap.group.synchronize = true/false来决定ldap中的用户属性是否覆盖产品中的用户属性,默认值为true。
ldap.group.synchronize = true 表示进行存量同步时,如果配置了产品与ldap的匹配属性时,ldap中的该属性值会覆盖产品中对应的属性值。
例如:
1)配置了产品中的“邮箱”和ldap中的属性“email”匹配,再进行存量同步时,ldap中的email属性值会覆盖产品中的邮箱配置。
2)ldap中存在用户user1,路径在People下。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组又变为了People。
ldap.group.synchronize = false 表示进行存量同步时,如果配置了产品与ldap的匹配属性时,ldap中的该属性值不会覆盖产品中对应的属性值,即:保留产品中的属性值。
例如:
1)配置了产品中的“邮箱”和ldap中的属性“email”匹配,再进行存量同步时,ldap中的email属性值不会覆盖产品中的邮箱配置。
2)ldap中存在用户user1,路径在People下。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组仍然为group1。
➢注意:
ldap同步时不会校验邮箱和密码的合法性,即:即使邮箱和密码不填或不合法也可以同步成功。
ldap用户的名称不可以修改。例如:将ldap用户“user1”的名称改为“user2”,点击保存,会提示:LDAP用户不能修改用户名。