LDAP¶
LDAP 英文全称为 Lightweight Directory Access Protocol,即轻型目录访问协议,这是一个开放的、中立的工业标准应用协议,通过 IP 协议提供访问控制和维护分布式信息的目录信息。
如果您的企业或组织已有自己的账号体系,同时您的企业用户管理系统支持 LDAP 协议,就可以使用全局管理提供的基于 LDAP 协议的身份提供商功能,而不必在 DCE 5.0 中为每一位组织成员创建用户名/密码。 您可以向这些外部用户身份授予使用 DCE 5.0 资源的权限。
在全局管理中,其操作步骤如下:
-
使用具有
admin
角色的用户登录 Web 控制台。点击左侧导航栏的左上角的全局管理
。 -
导航至
全局管理
下的用户与访问控制
,选择创建身份提供商
。 -
在
LDAP
页签中,填写以下字段后点击保存
,建立与身份提供商的信任关系及用户的映射关系。字段 描述 举例值 服务器 LDAP 服务的地址和端口号 10.6.165.2:30061 用户名称 登录 LDAP 服务的用户名 cn=admin,dc=daocloud,dc=io 密码 登录 LDAP 服务的密码 password 基准 DN LDAP admin 的 DN,用于访问 LDAP 服务器 dc=daocloud,dc=io 用户对象过滤器 LDAP 用户的 LDAP objectClass
新建的用户将与所有这些对象类一起写入 LDAP,并且只要它们包含所有这些对象类,就会找到现在的 LDAP 用户记录。
DCE 5.0 已经帮用户自动填入,如需修改可直接编辑。inetOrgPerson, organizationalPerson 自动同步 每十分钟自动同步一次。启用后仍可通过手动同步按钮,随时同步用户 勾选 是否启用 TLS 启用后将加密 DCE 5.0 与 LDAP 的连接 否 全名映射 姓-sn;名-cn 不可更改 邮箱映射 mail 不可更改 -
在
同步用户组
页签中,填写以下字段配置用户组的映射关系后,再次点击保存
。字段 描述 举例值 基准 DN 用户组在 LDAP 树状结构中的位置 ou=groups,dc=example,dc=org 用户组对象过滤器 用户组的对象类,如果需要更多类,则用逗号分隔。在典型的 LDAP 部署中,通常是 “groupOfNames”,系统已自动填入,如需更改请直接编辑。* 表示所有。 * 用户组名 cn 不可更改
Note
- 当您通过 LDAP 协议将企业用户管理系统与 DCE 5.0 建立信任关系后,可通过手动同步或每十分钟自动同步一次的方式,将企业用户管理系统中的用户或用户组一次性同步至 DCE 5.0。
- 同步后管理员可对用户组/用户组进行批量授权,同时用户可通过在企业用户管理系统中的账号/密码登录 DCE 5.0。
- 有关实际操作教程,请参阅 LDAP 操作演示视频。