永洪社区

标题: 详解LDAP在永洪BI中的应用 [打印本页]

---

作者: 寻找新技能    时间: 2021-4-22 09:41
标题: 详解LDAP在永洪BI中的应用

公司有很多IT系统，例如:企业邮箱、github、jenkins、grafna、zabbix、vpn、HR系统、用友、金蝶、文件系统、aws、aliyun、cmdb、jira、confluence……

在新员工入职时，要做的事情有这些：

• 要根据员工的职位，确认开通IT系统的权限；
• 在对应的IT系统中添加账户，设置密码；
• 各种渠道通知到新员工，IT系统权限和IT系统访问地址。
  
  

在老员工离职时，上面的事又要做一遍。

在正常工作时，很多员工因各种奇葩原因忘记密码，来找你重置、修改。在员工升职、调换岗位时，又是一通修改和删除。

有木有很崩溃?这还不够，一个员工需要手动操作N次，每天会有0-N个员工，如果出现误操作，导致数据泄露。这口锅直接背起。有木有感觉不会再爱了。

解决方案

说了那么多痛点，其实解决方案很简单，有个认证管理中心就可以解决了，那就是LDAP。LDAP是什么？干什么用?

LDAP是Lightweight Directory Access Protocol的缩写，中文意思是目录服务的协议，并且以树状结构来存储数据。

主要用来存储企业人员信息和组织架构，并对其进行统一认证管理。同时可以与第三方应用集成，实现针对企业内部的人员或部门访问权限管理。

实例讲解

那咱们就来看一下LDAP在永洪BI中的使用，如何方便快捷进行永洪用户同步，以下实例中的LDAP连接相关信息，都是以ldapadmin连接LDAP服务器为例。

1、权限设置

进入 【管理系统】-【系统设置】-【权限管理系统配置】中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。如下图所示：

(, 下载次数: 73)

上传

点击文件名下载附件

当用户选择LDAP同步&文件权限管理系统时，可以通过配置LDAP服务器与权限系统的对应关系，对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统，并赋予资源和操作的权限，如下图所示：

(, 下载次数: 51)

上传

点击文件名下载附件

2、LDAP配置

在LDAP配置页面需要配置以下属性，具体介绍如下所示。

• 服务器配置
  
  

URL：LDAP服务器的url，一般格式为服务器的url：port，但通常需要带上ldap协议头，如：ldap://192.168.0.181:389；

每页条目数：每页可以导入的条目数，这个值是根据LDAP的用户总数由用户自行设定的，如设置为500或者1000；

用户名：登录LDAP的用户名称；

密码：登录LDAP的密码；

域名：LDAP服务器的域名，比如：dc=maxcrc,dc=com。域名可以在连接页面查询，如下图：

(, 下载次数: 45)

上传

点击文件名下载附件

服务器配置页面如下所示：

(, 下载次数: 46)

上传

点击文件名下载附件 注：若无特定设置用户名以及密码，可不填写该两项。

• 用户属性配置
  
  

ObjectClass：LDAP对象类，是LDAP内置的数据模型，比如inetOrgPerson对象类。每种objectClass有自己的数据结构，比如“用户”的objectClass，会内置很多属性(attributes)，如用户名(name)，密码(password)，电话(mobile)等；所有拥有此对象类的数据将会被当做一个用户条目来解析；

UID：用户的uid对应item中的file的名称的映射。比如：将LDAP条目中的“name”属性作为UID时，同步进系统后，“name”属性的值将对应系统中用户的用户名；

ObjectClass以及UID可在如下界面看到：

(, 下载次数: 46)

上传

点击文件名下载附件

(, 下载次数: 53)

上传

点击文件名下载附件

属性配置：系统属性和LDAP属性的对应关系，如下图所示。

(, 下载次数: 60)

上传

点击文件名下载附件

(, 下载次数: 67)

上传

点击文件名下载附件

LDAP配置中的组属性以及角色属性配置同用户属性配置。

• 高级设置
  
  

(, 下载次数: 71)

上传

点击文件名下载附件

自定义转化器：给定制转化器预留的接口；自定义同步器：给定制同步器预留的接口；自定义认证器：有2种方式，即：g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor；  g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后，产品将使用LDAP服务器的密码进行认证登录； g5.secure.fs.LDAP.impl.DefAuthenor表示同步后，产品将使用LDAP与产品的匹配字段作为密码进行认证登录； V8.5.1之前默认为：g5.secure.fs.LDAP.impl.DefAuthenor，V8.5.1之后默认为：g5.secure.fs.LDAP.impl.LDAPAuthenor。注：该配置为特定认证需求预留接口，基本配置中该配置一般不填写。

• 定时同步设置
  
  

(, 下载次数: 63)

上传

点击文件名下载附件

点击定时同步的输入框可在下拉列表中选择定时同步的时间，选择后，每天的这个时间系统都会自动与LDAP服务器进行同步。

• 手动同步
  
  

配置好属性后，手动点击同步LDAP，系统则会按照配置好的对应关系进行同步。同步时，下方会自动显示LDAP同步的日志。

(, 下载次数: 61)

上传

点击文件名下载附件

实例结果

(, 下载次数: 65)

上传

点击文件名下载附件

定制属性

若客户需要定制新的属性，比如是否管理员，用户地址等，都可以进行定制，定制方法如下：

(, 下载次数: 57)

上传

点击文件名下载附件

注意：在定制用户属性时，新增用户属性的名称与参数名称需保持一致。新增定制属性后，可在2.2节属性配置-本地属性中查看。

(, 下载次数: 54)

上传

点击文件名下载附件

►特别说明

• 存量同步
  
  

如果LDAP已经同步过一次，再次进行同步时，称为“存量同步”。

当进行存量同步时，如果配置了产品与LDAP的匹配属性时，LDAP中的该属性值会覆盖产品中对应的属性值。

☞ 例如：

1、配置了产品中的“邮箱”和LDAP中的属性“email”匹配，再进行存量同步时，LDAP中的email属性值会覆盖产品中的邮箱配置。

2、LDAP中存在用户user1，为People组下成员。首次同步时，将user1同步到产品中，其父组为People。在产品中将user1的父组调整为group1，再进行存量同步，user1的父组又变为了People。

• 注意事项
  
  

LDAP同步时不会校验邮箱和密码的合法性，即：即使邮箱和密码不填或不合法也可以同步成功。

LDAP用户的名称不可以修改。例如：将LDAP用户“user1”的名称改为“user2”，点击保存，会提示：LDAP用户不能修改用户名。

(, 下载次数: 62)

上传

点击文件名下载附件

以上为永洪BI中使用LDAP的实例说明，关于产品使用有什么问题，可在永洪服务平台进行咨询或在社区论坛进行相关搜索与提问。

---

欢迎光临 永洪社区 (https://club.yonghongtech.com/)

Powered by Discuz! X3.4