LDAP

配置舉例

  1. # 启用LDAP身份验证,默认false
  2. Enable = true
  3. # LDAP服务器的主机名或IP地址,客户端将连接到此服务器进行身份验证
  4. Host = '10.99.0.170'
  5. # LDAP服务器的端口号,默认端口是389
  6. Port = 389
  7. # LDAP目录树中的起始点,所有搜索操作都将在此基础DN下进行
  8. BaseDn = 'dc=n9e,dc=com'
  9. # 用于绑定到LDAP服务器的用户DN
  10. BindUser = 'cn=binduser,dc=n9e,dc=com'
  11. # 用于绑定到LDAP服务器的用户的密码
  12. BindPass = '1234'
  13. # 查找用户的LDAP搜索过滤器,%s将被替换为实际的用户名
  14. AuthFilter = "(&(sAMAccountName=%s))"
  15. # 是否覆盖用户属性,设置为true表示当从LDAP同步用户信息时,将覆盖现有的用户属性
  16. CoverAttributes = true
  17. # 是否覆盖团队设置
  18. CoverTeams = false
  19. # 是否启用TLS连接
  20. TLS = false
  21. # 是否启用StartTLS
  22. StartTLS = false
  23. # 用户在系统中的默认角色
  24. DefaultRoles = ['Guest']
  25. # 用户在系统中的默认团队
  26. DefaultTeams = [21]
  28. # 用户属性映射
  29. [Attributes]
  30. # 映射到LDAP中的displayName
  31. Nickname = 'displayName'
  32. # 映射到LDAP中的mobile
  33. Phone = 'mobile'
  34. # Email映射到LDAP中的mail
  35. Email = 'mail'

基础配置详解

Enable = true 为LDAP配置的开关;

Host = '10.99.0.170' 后面需要填写LDAP服务器的主机名或IP地址;

Port = 389 对应LDAP服务的端口号,默认端口为389;

BaseDn = 'dc=n9e,dc=com' 是LDAP服务的目录树起点(如下图所示);

ldap01

BindUser = 'cn=binduser,dc=n9e,dc=com' 用于绑定到LDAP服务器的用户DN。该用户需要有足够的权限来搜索用户和验证凭证;(这个用户需要在LDAP中先创建并设置权限)

BindPass = '1234' 用于绑定到LDAP服务器的用户密码;

下面是一个LDAP创建binduser和ACL的配置简单实例:

  1. 1. 创建 bind 用户文件 `binduser.ldif`
  2. root@9a90f3b798ee:/# cat binduser.ldif 
  3. # Entry for bind user
  4. # 注意替换 cn/dc 相关信息
  5. dn: cn=binduser,dc=n9e,dc=com
  6. objectClass: inetOrgPerson
  7. objectClass: posixAccount
  8. cn: binduser
  9. sn: Bind
  10. uid: binduser
  11. userPassword: 1234
  12. uidNumber: 10000
  13. gidNumber: 10000
  14. homeDirectory: /home/binduser
  16. 2. 创建 bind 用户 ACL 文件
  17. root@9a90f3b798ee:/# cat binduser-acl.ldif 
  18. # Add ACL for bind user
  19. dn: olcDatabase={1}mdb,cn=config
  20. changetype: modify
  21. add: olcAccess
  22. # 注意替换 dc/cn 等相关信息
  23. olcAccess: to dn.subtree="dc=n9e,dc=com"
  24.   by dn.exact="cn=binduser,dc=n9e,dc=com" read
  25.   by * none
  27. 3. 创建 bind 用户,注意修改 dc/cn 信息,-w 参数后面填写 admin 的密码
  28. ldapadd -x -D "cn=admin,dc=n9e,dc=com" -w 1234 -f binduser.ldif
  30. 4. 添加 bind 用户 ACL,注意修改 dc/cn 信息,-w 参数后面填写 admin 的密码
  31. ldapmodify -x -D "cn=admin,dc=n9e,dc=com" -w 1234 -f binduser-acl.ldif

ldap02

TLS = false 选项为 true | false,根据LDAP设置情况开启。

StartTLS = false 选项为 true | false,根据LDAP设置情况开启。

DefaultRoles = ['Guest'] 设置LDAP账号登录夜莺后的账号权限,选项为 Admin / Standard / Guest;

DefaultTeams = [21] 设置LDAP账号登录夜莺后的账号归属业务组ID(如下图所示);

ldap03

其他配置没有特殊需求可以保持默认即可,配置信息修改好后保存文件,就可以测试使用LDAP账号进行登录了。

ldap04

ldap05