反饋已提交

網絡繁忙

多域LDAP認證

1. 概述

1.1 版本

報表伺服器版本JAR 包
多域LDAP認證插件版本
10.0.122020-12-28V1.0

1.2 應用場景

使用者資訊儲存在多個 LDAP 認證伺服器中,管理者可在數據決策系統中使用插件實現多域 LDAP 認證。

1.3 功能簡介

透過安裝【多域 LDAP 認證】插件,可以同時連結多個 AD 域進行 LDAP 登入認證。

注1:超級管理者不受 LDAP 認證的影響,依舊使用平台內建認證。

注2:若在不同域存在相同使用者名的使用者,使用各自的密碼均可登錄數據決策系統,但需要共用同一個平台賬戶。

注3:若配置了【多域 LDAP 認證】,禁用插件,那麼將自動切換為【內建認證】。重新啟用插件後,【多域 LDAP 認證】的配置仍然保留。

注4:該插件不支援從多LDAP域同步使用者、配置LDAPS、从安全組同步使用者,可以考慮使用 多域ldap認證增強版插件 解決,其功能和改寫的場景更多。 

2.1 範例

2.1 插件安裝

點選下載插件:多域 LDAP 認證

伺服器安裝插件方法參照:A11-18 伺服器-插件管理

2.2 配置多域 LDAP 認證

1)管理者登入數據決策系統,點選【管理系統】→【使用者管理】→【全域設定】,新增【多域LDAP認證】方式。


2)認證方式選擇【多域 LDAP 認證】。

點選【新增】按鈕,輸入各個參數,點選【測試連結並儲存】按鈕,即可新增一個 AD 域的URL。

全部新增完成後,點選【儲存】按鈕,跳出數據決策系統,需重新登入。


LDAP 設定時各參數項說明如下表所示:

參數項說明
URLURL 是登入 LDAP 伺服器的入口,URL 由域名或 IP 與埠號組成,一般埠號預設為 【389】。URL 格式為: 【LDAP://域名或IP+埠號】。
檢索位置LDAP 是一個樹狀結構儲存資料的伺服器,透過 URL 進入伺服器,透過使用者、密碼驗證後,進行檢索相關登入資訊,【檢索位置】即儲存該登入資訊的位置。

·勾選【不將檢索位置作為 BaseDN】:僅寫到根目錄會自動檢索其下面的子目錄,效率比較低。

·不勾選【不將檢索位置作為 BaseDN】:從根目錄一直寫到子目錄,不需要檢索,速度較快。

認證方式指定 LDAP 目錄伺服器所使用的認證型別,根據  LDAP 伺服器的配置選擇,一般認證方式選擇【simple】。

·認證方式選擇 none 時,為匿名認證,即平台使用者輸入任意密碼都能正常登入。

·認證方式選擇 simple 時,使用 LDAP 伺服器中儲存的普通明文密碼認證。

前後關系初始上下文工廠的類名。

一般選擇【com.sun.jndi.ldap.LdapCtxFactory】-對於基於 LDAP 伺服器的目錄服務。

轉診根據  LDAP 伺服器的配置選擇,一般選擇【ignore】。
使用者名後綴使用者名後綴可以新增也可以不新增,若新增,登入時自動新增上相應的域名。

例如 LDAP 伺服器裏有個使用者叫Alice@fanruan.com,使用者名後綴設定為@fanruan.com。

那麼數據決策系統中的使用者名為Alice,登入數據決策系統時的使用者名也是Alice。

管理員名稱/密碼

此處管理者名稱並非指 LDAP 伺服器的管理者名稱,而是指具有 LDAP 伺服器檢索權限的使用者。透過該使用者進入 LDAP 伺服器對檢索位置進行登入資訊檢索來實現認證。

通常這裏採用的是【域名/使用者名的方式來進行識別。無論是 uid 或 cn 的方式都可以,但一般不使用 DN 域名的寫法。

·若【管理者名稱】處填寫的不是 LDAP 伺服器管理者,而是 LDAP 伺服器中賦予了檢索權限的普通使用者,那麼必須要設定成「使用者名+域名」的形式,例如使用者是ldap,【檢索位置】為 DC=test,DC=com,那麼管理者名稱為 ldap@test.com。

·若【管理者名稱】處填寫的是 LDAP 伺服器管理者,直接填寫名稱即可,如上述範例中的【administrator】。

2.3 添加平台使用者

LDAP 伺服器裏一般儲存着使用者的員工列表,想要其中的某使用者能在平台使用 LDAP 認證登入,平台也需要新增一個同名使用者,因為綁定郵箱、分配權限等平台操作都是以平台使用者為作用物件的。當平台裏的對應使用者存在時,可以認為啟用【多域 LDAP 認證】僅是將該平台使用者的密碼認證從預設的平台內建認證改成了 LDAP 伺服器認證。

點選【管理系統】→【使用者管理】→【新增使用者】,新增使用者【test001】,如下圖所示:

注1:多域 LDAP 認證配置【新增使用者】時,不需要配置密碼。

注2:同步的使用者,匯出/新增的使用者,可分別選擇不同的認證方式。

2.4 效果查看

使用者輸入LDAP伺服器中儲存的使用者名、LDAP伺服器中的密碼,若某個域的 LDAP 認證成功,且對應的使用者存在於平台使用者中,則平台判斷認證成功,可進入數據決策系統,按照該使用者在平台中的權限進行相應操作。如下圖所示。

平台的同步使用者對於配置的同步 LDAP 多個域均生效,若某個使用者存在於平台同步使用者中,登入時會逐一遍曆這些域,直到認證成功,沒有則繼續遍曆直到結束報錯使用者名或密碼錯誤,登入失敗。

手動新增/匯出的使用者對於配置的內建 LDAP 多域也是如此,但和同步 LDAP 多域各自配置分開生效。

注1:若在不同域存在相同使用者名的使用者,使用各自的密碼均可登入數據決策系統,但需要共用同一個平台賬戶。

注2:若在平台中不存在輸入使用者名,或平台中對應的使用者被禁用,或開啓了平台使用使用者限制且不包含使用者,則不與 LDAP 伺服器進行通訊,直接提示【使用者名或密碼錯誤】或【使用者不可用】。

注3:若某個域的 LDAP 認證失敗,該域的使用者無法登入數據決策系統,不影響其他域的使用者。

注4:LDAP 伺服器中儲存的使用者名,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示【使用者名或密碼錯誤】。

         LDAP 伺服器中儲存的密碼,不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示【使用者名或密碼錯誤】。

附件列表


主題: 數據決策系統
已經是第一篇
已經是最後一篇
  • 有幫助
  • 沒幫助
  • 只是瀏覽
  • 圖片不清晰
  • 用語看不懂
  • 功能說明看不懂
  • 操作說明太簡單
  • 內容有錯誤
中文(简体) English 日本語
中文(繁體)

文 檔回 饋

滑鼠選中內容,快速回饋問題

滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。

不再提示

10s後關閉