LDAP

配置舉例

  1. # 啟用LDAP身份驗證,默認false
  2. Enable = true
  3. # LDAP伺服器的主機名或IP地址,客戶端將連接到此伺服器進行身份驗證
  4. Host = '10.99.0.170'
  5. # LDAP伺服器的端口號,默認端口是389
  6. Port = 389
  7. # LDAP目錄樹中的起始點,所有搜索操作都將在此基礎DN下進行
  8. BaseDn = 'dc=n9e,dc=com'
  9. # 用於綁定到LDAP伺服器的用戶DN
  10. BindUser = 'cn=binduser,dc=n9e,dc=com'
  11. # 用於綁定到LDAP伺服器的用戶的密碼
  12. BindPass = '1234'
  13. # 查找用戶的LDAP搜索過濾器,%s將被替換為實際的用戶名
  14. AuthFilter = "(&(sAMAccountName=%s))"
  15. # 是否覆蓋用戶屬性,設置為true表示當從LDAP同步用戶信息時,將覆蓋現有的用戶屬性
  16. CoverAttributes = true
  17. # 是否覆蓋團隊設置
  18. CoverTeams = false
  19. # 是否啟用TLS連接
  20. TLS = false
  21. # 是否啟用StartTLS
  22. StartTLS = false
  23. # 用戶在系統中的默認角色
  24. DefaultRoles = ['Guest']
  25. # 用戶在系統中的默認團隊
  26. DefaultTeams = [21]
  28. # 用戶屬性映射
  29. [Attributes]
  30. # 映射到LDAP中的displayName
  31. Nickname = 'displayName'
  32. # 映射到LDAP中的mobile
  33. Phone = 'mobile'
  34. # Email映射到LDAP中的mail
  35. Email = 'mail'

基礎配置詳解

Enable = true為LDAP的配置的開關;

Host = '10.99.0.170'後面需要填寫LDAP伺服器的主機名或IP地址;

Port = 389對應LDAP服務的端口號,默認端口389;

BaseDn = 'dc=n9e,dc=com'是LDAP服務的目錄樹起點(如下圖所示);

ldap01

BindUser = 'cn=binduser,dc=n9e,dc=com'用於綁定到 LDAP 伺服器的用戶DN。該用戶需要有足夠的權限來搜索用戶和驗證憑證;(這個用戶需要在LDAP先創建好並設定權限)

BindPass = '1234'用於綁定到 LDAP 伺服器的用戶的密碼;

下面是一個LDAP創建binduser和acl的配置簡單實例:

  1. 1. 創建bind用戶文件binduser.ldif
  2. root@9a90f3b798ee:/# cat binduser.ldif 
  3. # Entry for bind user
  4. # 注意替換cn/dc相關信息
  5. dn: cn=binduser,dc=n9e,dc=com
  6. objectClass: inetOrgPerson
  7. objectClass: posixAccount
  8. cn: binduser
  9. sn: Bind
  10. uid: binduser
  11. userPassword: 1234
  12. uidNumber: 10000
  13. gidNumber: 10000
  14. homeDirectory: /home/binduser
  16. 2. 創建bind用戶acl文件
  17. root@9a90f3b798ee:/# cat binduser-acl.ldif 
  18. # Add ACL for bind user
  19. dn: olcDatabase={1}mdb,cn=config
  20. changetype: modify
  21. add: olcAccess
  22. # 注意替換dc/cn等相關信息
  23. olcAccess: to dn.subtree="dc=n9e,dc=com"
  24.   by dn.exact="cn=binduser,dc=n9e,dc=com" read
  25.   by * none
  27. 3. 創建bind用戶,注意修改dc/cn信息,-w參數後面填寫admin的密碼
  28. ldapadd -x -D "cn=admin,dc=n9e,dc=com" -w 1234 -f binduser.ldif
  30. 4. 添加bind用戶acl,注意修改dc/cn信息,-w參數後面填寫admin的密碼
  31. ldapmodify -x -D "cn=admin,dc=n9e,dc=com" -w 1234 -f binduser-acl.ldif

ldap02

TLS = false選項為true|false,根據LDAP設定看情況開啟。

StartTLS = false選項為true|false,根據LDAP設定看情況開啟。

DefaultRoles = ['Guest']設置LDAP賬號登錄夜鶯後的賬號權限,選項Admin/Standard/Guest;

DefaultTeams = [21]設置LDAP賬號登錄夜鶯後的賬號歸屬業務組id(如下圖所示);

ldap03

其他配置沒有特殊需要可以保持默認即可,配置信息修改好後保存文件,就可以測試使用LDAP的賬號進行登錄了。

ldap04

ldap05