LDAP的全称是 Lightweight Directory Access Protocol,轻量目录访问协议」。 LDAP是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的。红小豆通过LDAP做简单的配置就可以与客户的服务器做用户认证交互。实现单点登入。
红小豆LDAP身份验证
用户帐户可以在客户LDAP服务器和红小豆数字之间同步,用户LDAP帐户详细信息保存在红小豆的数据库中。 同时允许将帐户分配给红小豆数字的机构,还可以设置文件分配所需的权限。
红小豆数字依靠客户已有的LDAP身份验证对用户进行身份验证,并将凭据传递到用户LDAP服务器进行验证,验证成功之后,系统就允许用户访问 红小豆数字。 为了提高性能,红小豆数字还可以缓存成功验证的token; 其具有到期超时以确保在适当的时间段后重新验证。
Tip: LDAP的使用对用户来说是透明的。从红小豆登入类似他们从其他系统登入。
配置红小豆LDAP对接信息
以系统管理员身份登录红小豆数字后,用户可以设置以下有关 LDAP 的参数。 更多详细信息请参见下图。
Tip: 请点击【LDAP对接配置】开始设置LDAP对接。
LDAP参数
下面表单是LDAP配置的参数说明:
| Property | Example | Description |
|---|---|---|
| Enable | Checked | Once checked, system will enable the LDAP connection. |
| Organization | The existing organization in the CubeDrive system | Before client can sync LDAP users to the CubeDrive, client need have an existing organization to map the LDAP users. After synced, all users will be added to the mapped organization. |
| URL | $protocol :// $ldaphost : $port | This is the client URL of the LDAP service. For example: ldap://localhost:10389 |
| bindUser | Username to connect to the LDAP server. | Bind operations are used to authenticate clients (and the users or applications behind them) to the directory server. |
| bindPasword | Password to connect to the LDAP server. | It is the password to access client LDAP system. |
| baseDN | ou=People,dc=example,dc=com dc=IAIServer2, dc=local |
The Base DN is the starting point an LDAP server uses when searching for users authentication within your Directory. It is a comma-separated list of attribute and value pairs that define the User Distinguished Name (DN). The first pair must be set to " $attribute_name ={0}" indicating that the $attribute_name is equal to the user token parsed from the request. |
人员配置
LDAP用户需要映射到红小豆数字的用户。 以下是 LDAP人员设置。 用户向LDAP添加用户时,一般包括:uid、email、cn、object等属性。
Tip:对象类在 LDAP 目录架构中定义 - 它们在那里构成一个类层次结构,有一个中央顶级类(称为“顶级”),所有其他类都从该类派生。
| Property | Example | Description |
|---|---|---|
| uidAttribute | uid | [Required] User ID. This is the unique uid in the LDAP, it will be mapped to the CubeDrive user username. |
| emailAttribute | [Required] Email Address. This is the email address in the LDAP, it will be mapped to the CubeDrive user email. | |
| cnAttribute | cn | [Required] Full Name. This is the user Full Name in the LDAP, it will be mapped to the CubeDrive user firstname and last name. |
| objectClass | person | [Required] object name for person. In LDAP, an object class defines the collection of attributes that can be used to define an entry. |
机构配置
组织单位属性是指用户所属的组织单位(有时是用户组)。这将用于映射红小豆数字的组织/子组织。
| Property | Example | Description |
|---|---|---|
| cnAttribute | ou | [Required] organization name. |
| objectClass | organizationalUnit | [Required] object name for organization. In LDAP, an object class defines the collection of attributes that can be used to define an entry. |
开始使用
客户端设置上述属性后,单击“更新”按钮。 LDAP就可以使用了。 客户端用户可以使用 LDAP中的现有帐户登录红小豆数字。
Tip: 用户要点击“同步账户”将所有用户从 LDAP加载到红小豆数字。