多域LDAP认证 FineReport帮助文档|报表开发|报表使用|学习教程

历史版本9 :多域LDAP认证返回文档

编辑时间:06-22 15:46 历史版本: 最新历史版本上一篇历史版本下一篇历史版本 内容长度:6947 图片数:4目录数:2 修改原因:全文编辑

1. 概述
2. 示例

1. 概述编辑

1.1 版本

报表服务器版本	JAR 包	多域LDAP认证插件版本
10.0.12	2020-12-28	V1.0

1.2 应用场景

用户信息存储在多个 LDAP 认证服务器中，管理员可在数据决策系统中使用插件实现多域 LDAP 认证。

1.3 功能简介

通过安装「多域 LDAP 认证」插件，可以同时连接多个 AD 域进行 LDAP 登录认证。

注1：超级管理员不受 LDAP 认证的影响，依旧使用平台内置认证。

注2：若在不同域存在相同用户名的用户，使用各自的密码均可登录数据决策系统，但需要共用同一个平台账户。

注3：若配置了「多域 LDAP 认证」，禁用插件，那么将自动切换为「内置认证」。重新启用插件后，「多域 LDAP 认证」的配置仍然保留。

2. 示例编辑

2.1 插件安装

点击下载插件：多域 LDAP 认证

设计器插件安装方法参照：设计器插件管理

服务器安装插件方法参照：服务器插件管理

2.2 配置多域 LDAP 认证

1）管理员登录数据决策系统，点击「管理系统>用户管理>全局设置」，新增「多域LDAP认证」方式。如下图所示：

2）认证方式选择「多域 LDAP 认证」。

点击「添加」按钮，输入各个参数，点击「测试连接并保存」按钮，即可添加一个 AD 域的URL。

全部添加完成后，点击「保存」按钮，退出数据决策系统，需重新登录。如下图所示：

LDAP 设置时各参数项说明如下表所示：

参数项	说明
URL	URL 是登录 LDAP 服务器的入口，URL 由域名或 IP 与端口号组成，一般端口号默认为 389。URL 格式为： LDAP://域名或IP+端口号
检索位置	LDAP 是一个树结构存储数据的服务器，通过 URL 进入服务器，通过用户、密码验证后，进行检索相关登录信息，「检索位置」即存储该登录信息的位置勾选「不将检索位置作为 BaseDN」：只写到根目录会自动检索其下面的子目录，效率比较低不勾选「不将检索位置作为 BaseDN」：从根目录一直写到子目录，不需要检索，速度较快
认证方式	指定 LDAP 目录服务器所使用的认证类型，根据 LDAP 服务器的配置选择，一般认证方式选择「simple」认证方式选择 none 时，为匿名认证，即平台用户输入任意密码都能正常登录认证方式选择 simple 时，使用 LDAP 服务器中存储的普通明文密码认证
前后关系	初始上下文工厂的类名一般选择「com.sun.jndi.ldap.LdapCtxFactory」-对于基于 LDAP 服务器的目录服务
转诊	根据 LDAP 服务器的配置选择，一般选择「ignore」
用户名后缀	用户名后缀可以添加也可以不添加，若添加，登录时自动添加上相应的域名。例如 LDAP 服务器里有个用户叫Alice@fanruan.com，用户名后缀设置为@fanruan.com。那么数据决策系统中的用户名为Alice，登录数据决策系统时的用户名也是Alice。
管理员名称／密码	此处管理员名称并非指 LDAP 服务器的管理员名称，而是指具有 LDAP 服务器检索权限的用户。通过该用户进入 LDAP 服务器对检索位置进行登录信息检索来实现认证。通常这里采用的是「域名/用户名」的方式来进行识别。无论是 uid 或 cn 的方式都可以，但一般不使用 DN 域名的写法若「管理员名称」处填写的不是 LDAP 服务器管理员，而是 LDAP 服务器中赋予了检索权限的普通用户，那么必须要设置成「用户名+域名」的形式，例如用户是ldap，「检索位置」为 DC=test,DC=com，那么管理员名称为 ldap@test.com 若「管理员名称」处填写的是 LDAP 服务器管理员，直接填写名称即可，如上述示例中的「administrator」

2.2 添加平台用户

LDAP 服务器里一般存储着用户的员工列表，想要其中的某用户能在平台使用 LDAP 认证登录，平台也需要添加一个同名用户，因为绑定邮箱、分配权限等平台操作都是以平台用户为作用对象的。当平台里的对应用户存在时，可以认为启用「多域 LDAP 认证」只是将该平台用户的密码认证从默认的平台内置认证改成了 LDAP 服务器认证。

点击「管理系统>用户管理>添加用户」，添加用户「test001」，如下图所示：

注1：多域 LDAP 认证配置「添加用户」时，不需要配置密码。

注2：同步的用户，导入/添加的用户，可分别选择不同的认证方式。

2.3 效果查看

若某个域的 LDAP 认证成功，且对应的用户存在于平台用户中，则平台判断认证成功，可进入数据决策系统，按照该用户在平台中的权限进行相应操作。如下图所示：

平台的同步用户对于配置的同步 LDAP 多个域均生效，若某个用户存在于平台同步用户中，登录时会逐一遍历这些域，直到认证成功，没有则继续遍历直到结束报错用户名或密码错误，登录失败。

手动添加/导入的用户对于配置的内置 LDAP 多域也是如此，但和同步 LDAP 多域各自配置分开生效。

注1：若在不同域存在相同用户名的用户，使用各自的密码均可登录数据决策系统，但需要共用同一个平台账户。

注2：若平台中不存在输入的用户名，或平台中对应的用户被锁定，则不与 LDAP 服务器进行通信，直接提示「用户名或密码错误」或「用户不可用」。

注3：若某个域的 LDAP 认证失败，该域的用户无法登录数据决策系统，不影响其他域的用户。

注4：LDAP 服务器中存储的用户名，不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

LDAP 服务器中存储的密码，不可使用双字节日语、繁体中文、简体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。