LDAP¶
LDAP 英文全称为 Lightweight Directory Access Protocol,即轻型目录访问协议,这是一个开放的、中立的工业标准应用协议, 通过 IP 协议提供访问控制和维护分布式信息的目录信息。
如果您的企业或组织已有自己的账号体系,同时您的企业用户管理系统支持 LDAP 协议,就可以使用全局管理提供的基于 LDAP 协议的身份提供商功能,而不必在 d.run 中为每一位组织成员创建用户名/密码。 您可以向这些外部用户身份授予使用 d.run 资源的权限。
在全局管理中,其操作步骤如下:
-
使用具有 admin 角色的用户登录 d.run。点击左侧导航栏左下角的 全局管理 -> 用户与访问控制 。
-
在左侧导航栏点击 身份提供商 ,点击 创建身份提供商 按钮。
-
在 LDAP 页签中,填写以下字段后点击 保存 ,建立与身份提供商的信任关系及用户的映射关系。
字段 描述 举例值 类型 支持 LDAP (Lightweight Directory Access Protocol) 和 AD (Active Directory) LDAP 服务器 LDAP 服务的地址和端口号 10.6.165.2:30061 用户名称 登录的用户名 cn=admin,dn=daocloud,dc=com 密码 登录的密码 password 基准 DN admin 的 DN,用于访问 LDAP 服务器 dc=daocloud,dc=io 用户对象过滤器 LDAP 用户的 LDAP objectClass
新建的用户将与所有这些对象类一起写入 LDAP,并且只要它们包含所有这些对象类,就会找到现在的 LDAP 用户记录。
d.run 已经帮用户自动填入,如需修改可直接编辑。inetOrgPerson, organizationalPerson 是否启用 TLS 启用后将加密 d.run 与 LDAP 的连接 否 全名映射 姓-sn;名-cn 不可更改 邮箱映射 是指将用户的电子邮件地址与 LDAP 帐户相关联。用于允许只有特定电子邮件域名的用户能够访问某些资源,如内部网站或文件共享 邮箱地址,不可更改 高级配置
字段 描述 举例值 自动同步 默认 1 小时同步一次,可以自行配置 勾选 数据同步模式 对于只读 LDAP 的数据,不可以在 d.run 平台上编辑用户信息
对于写入 LDAP 的数据,可以在 d.run 上编辑用户信息后再同步回 LDAP只读 读取超时 当 LDAP 数据量较大时,调整该数值可以有效避免接口超时 600 毫秒 用户名属性 是指在认证和授权过程中用于标识用户的属性。用户名属性是唯一的且不可更改的,可以是用户的电子邮件地址、登录名或其他由系统管理员定义的属性。用户名属性用作用户的唯一标识符,以便系统可以识别特定用户并授予其相应的权限。 uid RDN 属性 是指用于创建 Relative Distinguished Name(RDN)的属性。在 X.500 和 LDAP 目录服务中,RDN 属性通常是唯一的,并且是用于标识目录树(Naming Context)中某个对象的一部分。例如,在“cn=John Doe,ou=People,dc=example,dc=com”中,“cn”就是 RDN 属性之一。RDN 属性定义了该对象在其父级对象下的相对名称,因此它必须唯一。当新对象添加到目录中时,它的 RDN 属性必须与同一层级中其他对象的RDN属性不同,否则将导致命名冲突。 uid UUID 属性 是指唯一标识符(Universally Unique Identifier)属性。UUID 是由数字、字母和连字符组成的 36 个字符的字符串,用于在计算机系统中标识对象。UUID 可以确保在任何给定时间内,不同计算机上的对象都具有唯一标识符。 entryUUID -
在 同步用户组 页签中,填写以下字段配置用户组的映射关系后,再次点击 保存 。
字段 描述 举例值 基准 DN 用户组在 LDAP 树状结构中的位置 ou=groups,dc=example,dc=org 用户组对象过滤器 用户组的对象类,如果需要更多类,则用逗号分隔。在典型的 LDAP 部署中,通常是 “groupOfNames”,系统已自动填入,如需更改请直接编辑。* 表示所有。 * 用户组名 cn 不可更改
Note
- 当您通过 LDAP 协议将企业用户管理系统与 d.run 建立信任关系后,可通过手动同步或自动同步的方式,将企业用户管理系统中的用户或用户组一次性同步至 d.run。
- 同步后管理员可对用户组/用户组进行批量授权,同时用户可通过在企业用户管理系统中的账号/密码登录 d.run。
- 有关实际操作教程,请参阅 LDAP 操作演示视频。