反饋已提交
網絡繁忙
第二章第1節,LDAP認證新增【測試 】按鈕。
第三章第3節,支援自訂配置LDAP認證使用者名登入搜索字段。
使用者在 LDAP 認證伺服器儲存了較為完整的員工資訊,且已經使用它進行了多個線上系統的認證。
使用者需要在數據決策系統中使用同樣的認證方法,可在數據決策系統的【管理系統】→【使用者管理】→【全域設定】處開啓 LDAP 認證。
平台提供 LDAP 認證,使用者可按照本文方法在數據決策系統中設定 LDAP 認證。
LDAP 認證,使用者登入時,平台將輸入使用者名資訊到設定的 LDAP 系統進行認證。
若 LDAP 系統認證失敗,則平台判斷認證失敗;
若 LDAP 系統認證成功,但是對應的使用者不存在於平台使用者中,則平台判斷認證失敗;
若 LDAP 系統認證成功,且對應的使用者存在於平台使用者中,則平台判斷認證成功,可進入平台,按照該使用者在平台中的權限進行相應操作。
注:超級管理者不受 LDAP 認證的影響,依舊使用平台內建認證。
以管理者身分進入數據決策系統,點選【管理系統】→【使用者管理】→【全域設定】,可分別為【同步使用者】和【匯出/新增的使用者】選擇認證方式。如下圖一所示。
認證方式選擇【LDAP 認證】,輸入各個參數,點選【儲存】按鈕,跳出數據決策系統,需重新登入。如下圖二所示。
參數填寫完成後,點選【測試連結】,連結成功後,點選【儲存】,即配置認證方式成功。
注:若連結失敗,則跳出提示:未能成功連結LDAP認證,請應答相關配置準確後再次儲存。如下圖四所示。
LDAP 認證時各參數項說明如下表所示。
勾選【不将檢索位置作為 BaseDN】:僅寫到根目錄會自動檢索其下面的子目錄,效率比較低。
不勾選【不将檢索位置作為 BaseDN】:從根目錄一直寫到子目錄,不需要檢索,速度較快。
指定 LDAP 目錄伺服器所使用的認證型別,根據 LDAP 伺服器的配置選擇,一般認證方式選擇【simple】。
認證方式選擇 none 時,為匿名認證,即平台使用者輸入任意密碼都能正常登入。
認證方式選擇 simple 時,使用 LDAP 伺服器中存儲的普通明文密碼認證。
初始上下文工廠的類名。
一般選擇【com.sun.jndi.ldap.LdapCtxFactory】-對於基於 LDAP 伺服器的目錄服務。
根據 LDAP 伺服器的配置選擇,一般選擇【ignore】。
使用者名後綴可以添加也可以不添加,若添加,登錄時自動添加上相應的域名。
如 LDAP 伺服器裏有個使用者叫Alice@fanruan.com,使用者名後綴設定為@fanruan.com。
那麽資料決策系統中的使用者名為Alice,登錄資料決策系統時的使用者名也是Alice。
此處管理員名稱并非指 LDAP 伺服器的管理員名稱,而是指具有 LDAP 伺服器檢索權限的使用者。透過該使用者進入 LDAP 伺服器對檢索位置進行登錄信息檢索來實現認證。
通常這裏采用的是【域名/使用者名】的方式來進行識别。無論是 uid 或 cn 的方式都可以,但一般不使用 DN 域名的寫法。
若【管理員名稱】處填寫的不是 LDAP 伺服器管理員,而是 LDAP 伺服器中賦予了檢索權限的普通使用者,那麽必須要設定成【使用者名+域名】的形式,例如使用者是ldap,【檢索位置】為 DC=test,DC=com,那麽管理員名稱為 ldap@test.com。
若【管理員名稱】處填寫的是 LDAP 伺服器管理員,直接填寫名稱即可,如上述範例中的【administrator】。
LDAP 伺服器裏一般存儲着使用者的員工列表,想要其中的某使用者能在平台使用 LDAP 認證登入,平台也需要添加一個同名使用者,因為綁定郵箱、分配權限等平台操作都是以平台使用者為作用對象的。
當平台裏的對應使用者存在時,可以認為啟用 LDAP 認證僅是將該平台使用者的密碼認證從預設的平台內建認證改成了 LDAP 伺服器認證。
點擊【管理系統】→【使用者管理】→【添加使用者】,添加使用者【test001】,如下圖所示。
注1:LDAP 認證配置【添加使用者】時,不需要配置密碼。帆軟中用 123456 的預設密碼來存儲,實際認證走 LDAP 密碼認證。
注2:同步的使用者,匯出/添加的使用者,可分别選擇不同的認證方式。
使用者輸入LDAP伺服器中存儲的使用者名、LDAP伺服器中的密碼,若 LDAP 系統認證成功,且對應的使用者存在於平台使用者中,則平台判斷認證成功,可進入資料決策系統,按照該使用者在平台中的權限進行相應操作。如下圖所示。
注1:若在平台中不存在輸入使用者名,或平台中對應的使用者被禁用,或開啓了平台使用使用者限制且不包含使用者,則不與 LDAP伺服器進行通訊,直接提示【使用者名或密碼錯誤】或【使用者不可用】。
注2:LDAP 伺服器中儲存的使用者名,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示【使用者名或密碼錯誤】。
LDAP 伺服器中儲存的密碼,不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示【使用者名或密碼錯誤】。
10.0.18 之前的報表工程,在數據決策系統中配置 LDAP 認證後,不能確定 LDAP 連結是否成功,執行本文 第二章第3節時,可能會出現使用者無法正常登入或登入緩慢的問題,可按照本章方法定位問題。
下載右側壓縮包并解壓:LDAPDemo.zip。
開啟【LDAPDemo.java】檔案,根據實際情況修改平台 LDAP 配置頁面的配置項,如下圖一所示。
切換到 LDAP 檔案目錄下,執行:【javac -encoding utf-8 LDAPDemo.java】,生成一個【LDAPDemo.class】;然後再執行:【java LDAPDemo】,如果傳回的是【測試結束】,則表示 LDAP 認證正常,否則根據提示進一步定位問題。如下圖二、三所示。
注1:确保本地有 Java 環境。
注2:管理者名稱中若包含以下字元: '"', '+',',',';','<','>','\' ,在 LDAPDemo 中需要轉義。
例:使用者名為 fanruan\admin,LDAPDemo 中需要輸入 fanruan\\admin。決策平台輸入無需轉義,直接輸入 fanruan\admin 即可。
問題描述:
FineReport 由 9.0 升級到 10.0 之後,使用者使用 LDAP 認證登入失敗,登入頁面顯示報錯資訊【username does not exist】。
原因分析:
9.0 升級到 10.0 後 LDAP 登入認證邏輯發生了改變。
以使用者名User,LDAP 認證後綴 【fr.com】 為例對認證邏輯進行分析:
FineReport 9.0:首先将使用者名 User 加上後綴 fr.com 檢索平台是否存在該使用者,然後進行 LDAP 認證流程。
FineReport 10.0:首先根據使用者名 User 檢索是否存在該使用者,然後再加上後綴 fr.com 進行LDAP認證流程。
解決方案:
方案一:将【使用者管理下】 LDAP 配置頁面的【使用者名後綴】去掉不用,使用者使用【使用者名@後綴名】即可正常登入。
方案二:将每個使用者的【使用者後綴名】都去掉,使用者使用使用者名即可正常登入。
超級管理員可透過【fine_conf_entity可視化配置插件】自訂配置LDAP認證使用者名登錄搜索字段。重啓伺服器後設定生效。
注:修改 FineDB 資料庫表字段值的方法請參考 FineDB 常用表字段修改 。
參數值格式為:["值1","值2"]
參數值不允許為空,參數長度不允許為 0
參數預設值為["sAMAccountName","cn","userPrincipalName","uid","displayName","name","sn"]
文 檔回 饋
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉