LDAP配置

<< Click to Display Table of Contents >>

当前位置:  用户与权限管理 

LDAP配置

Previous pageReturn to chapter overviewNext page

用户需要进入管理系统->系统设置->权限管理系统配置中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。

当用户选择LDAP同步&文件权限管理系统时,可以通过配置LDAP服务器与权限系统的对应关系,对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统,并赋予资源和操作的权限,如下图所示。

V9.3版本之前 :

ldap1

 

V9.3版本:

iadp2

LDAP服务器配置中的“域名”更改为“识别名”,支持添加多个识别名,一次同步从配置的多个识别名中获取用户数据。单击“添加节点”即可新增“识别名”。

服务器配置

【URL】LDAP服务器的url,一般格式为服务器的url:port;

【每页条目数】每页可以导入的条目数,这个值是根据LDAP的用户总数由用户自行设定的,可以设置为500或者1000;

【用户名】登录LDAP的用户名称;

【密码】登录LDAP的密码;

【域名/识别名】LDAP服务器的域名/识别名,比如:dc=yonghongtech,dc=com。

 

说明:

识别名需唯一,不能重复。

 

用户属性配置

【ObjectClass】LDAP对象类,是LDAP内置的数据模型,比如inetOrgPerson对象类。每种objectClass有自己的数据结构,比如“用户”的objectClass,会内置很多属性(attributes),如用户名(name),密码(password),电话(mobile)等;所有拥有此对象类的数据将会被当做一个用户条目来解析;

【UID】用户的uid对应item中的file的名称的映射。比如:将LDAP条目中的“name”属性作为UID时,同步进系统后,“name”属性的值将对应系统中用户的用户名;

【属性配置】系统属性和LDAP属性的对应关系,如下图所示。

ldap2

 

组属性配置

  同用户属性配置

 

角色属性配置

  同用户属性配置

 

高级设置

  自定义转化器:给定制转化器预留的接口;

  自定义同步器:给定制同步器预留的接口;

  自定义认证器:有2种方式,即:g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor。

  g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后,产品将使用LDAP服务器的密码进行认证登录;

 g5.secure.fs.LDAP.impl.DefAuthenor表示同步后,产品将使用LDAP与产品的匹配字段作为密码进行认证登录;

 V8.5.1之前默认为:g5.secure.fs.LDAP.impl.DefAuthenor,V8.5.1之后默认为:g5.secure.fs.LDAP.impl.LDAPAuthenor。

 

定时同步设置

  点击定时同步的输入框可在下拉列表中选择定时同步的时间,选择后,每天的这个时间系统都会自动与LDAP服务器进行同步。

 

手动同步

   配置好属性后,手动点击同步LDAP,系统则会按照配置好的对应关系进行同步。同步时,下方会自动显示LDAP同步的日志。

 

存量同步

如果ldap已经同步过一次,再次进行同步时,称为“存量同步”。通过属性:ldap.group.synchronize = true/false来决定ldap中的用户属性是否覆盖产品中的用户属性,默认值为true。

ldap.group.synchronize = true 表示进行存量同步时,如果配置了产品与ldap的匹配属性时,ldap中的该属性值会覆盖产品中对应的属性值。

例如:

1)配置了产品中的“邮箱”和ldap中的属性“email”匹配,再进行存量同步时,ldap中的email属性值会覆盖产品中的邮箱配置。      

2)ldap中存在用户user1,路径在People下。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组又变为了People。

 

ldap.group.synchronize = false 表示进行存量同步时,如果配置了产品与ldap的匹配属性时,ldap中的该属性值不会覆盖产品中对应的属性值,即:保留产品中的属性值。

例如:

1)配置了产品中的“邮箱”和ldap中的属性“email”匹配,再进行存量同步时,ldap中的email属性值不会覆盖产品中的邮箱配置。

2)ldap中存在用户user1,路径在People下。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组仍然为group1。

 

注意:

ldap同步时不会校验邮箱和密码的合法性,即:即使邮箱和密码不填或不合法也可以同步成功。

ldap用户的名称不可以修改。例如:将ldap用户“user1”的名称改为“user2”,点击保存,会提示:LDAP用户不能修改用户名。