1. 概述
1.1 版本
| 报表服务器版本 | 功能变更 |
|---|---|
| 10.0 | - |
| 10.0.18 | 2.1节,LDAP认证新增「测试连接」按钮 3.3节,支持自定义配置LDAP认证用户名登录搜索字段 |
1.2 应用场景
用户在 LDAP 认证服务器存储了较为完整的员工信息,且已经使用它进行了多个线上系统的认证。
用户需要在数据决策系统中使用同样的认证方法,可在数据决策系统的「管理系统>用户管理>全局设置」处开启 LDAP 认证。
1.3 功能简介
平台提供 LDAP 认证,用户可按照本文方法在数据决策系统中设置 LDAP 认证。
LDAP 认证,用户登录时,平台将输入的用户名信息到设置的 LDAP 系统进行认证。
若 LDAP 系统认证失败,则平台判断认证失败;
若 LDAP 系统认证成功,但是对应的用户不存在于平台用户中,则平台判断认证失败;
若 LDAP 系统认证成功,且对应的用户存在于平台用户中,则平台判断认证成功,可进入平台,按照该用户在平台中的权限进行相应操作。
注:超级管理员不受 LDAP 认证的影响,依旧使用平台内置认证。
2. 示例
2.1 配置 LDAP 认证
1)以管理员身份进入数据决策系统,点击「管理系统>用户管理>全局设置」,可分别为「同步用户」和「导入/添加的用户」选择认证方式。如下图所示:
2)认证方式选择「LDAP 认证」,输入各个参数,点击「保存」按钮,退出数据决策系统,需重新登录。如下图所示:
LDAP 认证时各参数项说明如下表所示:
| 参数项 | 说明 |
|---|---|
| URL | URL 是登录 LDAP 服务器的入口,URL 由域名或 IP 与端口号组成,一般端口号默认为 389。URL 格式为: LDAP://域名或IP+端口号 |
| 检索位置 | LDAP 是一个树结构存储数据的服务器,通过 URL 进入服务器,通过用户、密码验证后,进行检索相关登录信息,「检索位置」即存储该登录信息的位置
|
| 认证方式 | 指定 LDAP 目录服务器所使用的认证类型,根据 LDAP 服务器的配置选择,一般认证方式选择「simple」
|
| 前后关系 | 初始上下文工厂的类名 一般选择「com.sun.jndi.ldap.LdapCtxFactory」-对于基于 LDAP 服务器的目录服务 |
| 转诊 | 根据 LDAP 服务器的配置选择,一般选择「ignore」 |
| 用户名后缀 | 用户名后缀可以添加也可以不添加,若添加,登录时自动添加上相应的域名。 例如 LDAP 服务器里有个用户叫Alice@fanruan.com,用户名后缀设置为@fanruan.com。 那么数据决策系统中的用户名为Alice,登录数据决策系统时的用户名也是Alice。 |
| 管理员名称/密码 | 此处管理员名称并非指 LDAP 服务器的管理员名称,而是指具有 LDAP 服务器检索权限的用户。通过该用户进入 LDAP 服务器对检索位置进行登录信息检索来实现认证。 通常这里采用的是「域名/用户名」的方式来进行识别。无论是 uid 或 cn 的方式都可以,但一般不使用 DN 域名的写法
|
3)参数填写完成后,点击「测试连接」,连接成功后,点击「保存」,即配置认证方式成功。
注:若连接失败,则跳出提示:未能成功连接LDAP认证,请确认相关配置准确后再次保存。如下图所示:
2.2 添加用户
LDAP 服务器里一般存储着用户的员工列表,想要其中的某用户能在平台使用 LDAP 认证登录,平台也需要添加一个同名用户,因为绑定邮箱、分配权限等平台操作都是以平台用户为作用对象的。
当平台里的对应用户存在时,可以认为启用 LDAP 认证只是将该平台用户的密码认证从默认的平台内置认证改成了 LDAP 服务器认证。
点击「管理系统>用户管理>添加用户」,添加用户「test001」,如下图所示:
注1:LDAP 认证配置「添加用户」时,不需要配置密码。帆软中用 123456 的默认密码来存储,实际认证走 LDAP 密码认证。
注2:同步的用户,导入/添加的用户,可分别选择不同的认证方式。
2.3 效果查看
用户输入LDAP服务器中存储的用户名、LDAP服务器中的密码,若 LDAP 系统认证成功,且对应的用户存在于平台用户中,则平台判断认证成功,可进入数据决策系统,按照该用户在平台中的权限进行相应操作。如下图所示:
注1:若在平台中不存在输入的用户名,或平台中对应的用户被禁用,或开启了平台使用用户限制且不包含用户,则不与 LDAP 服务器进行通信,直接提示「用户名或密码错误」或「用户不可用」。
注2:LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。
LDAP 服务器中存储的密码,不可使用双字节日语、繁体中文、简体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。
3. 注意事项
3.1 测试 LDAP 连接成功
10.0.18 之前的报表工程,在数据决策系统中配置 LDAP 认证后,不能确定 LDAP 连接是否成功,执行本文 2.3 章节时,可能会出现用户无法正常登录或登录缓慢的问题,可按照本章方法定位问题。
注:确保本地有 Java 环境。
1)下载右侧压缩包并解压:LDAPDemo.zip
2)打开「LDAPDemo.java」文件,根据实际情况修改平台 LDAP 配置页面的配置项,如下图所示:
注:管理员名称中若包含以下字符: '"', '+',',',';','<','>','\' ,在 LDAPDemo 中需要转义。
例:用户名为 fanruan\admin,LDAPDemo 中需要输入 fanruan\\admin。决策平台输入无需转义,直接输入 fanruan\admin 即可。
3)切换到 LDAP 文件目录下,执行:javac -encoding utf-8 LDAPDemo.java,生成一个LDAPDemo.class;
然后再执行:java LDAPDemo,如果返回的是测试结束,则表示 LDAP 认证正常,否则根据提示进一步定位问题。如下图所示:
3.2 9.0 升级 10.0 后 LDAP 认证失败
问题描述:
FineReport 由 9.0 升级到 10.0 之后,用户使用 LDAP 认证登录失败,登录页面显示报错信息username does not exist
原因分析:
9.0 升级到 10.0 后 LDAP 登录认证逻辑发生了改变。
以用户名 User,LDAP 认证后缀 fr.com 为例对认证逻辑进行分析:
FineReport 9.0:首先将用户名 User 加上后缀 fr.com 检索平台是否存在该用户,然后进行 LDAP 认证流程。
FineReport 10.0:首先根据用户名 User 检索是否存在该用户,然后再加上后缀 fr.com 进行LDAP认证流程。
解决方案:
方案一:将用户管理下 LDAP 配置页面的用户名后缀去掉不用,用户使用用户名@后缀名即可正常登录。
方案二:将每个用户的用户后缀名都去掉,用户使用用户名即可正常登录。
3.3 配置 LDAP 认证用户名登录搜索字段
超级管理员可通过「fine_conf_entity可视化配置插件」自定义配置LDAP认证用户名登录搜索字段。重启服务器后设置生效。
注:修改 FineDB 数据库表字段值的方法请参考 FineDB 常用表字段修改 。
| 配置项 | 修改规则 |
|---|---|
| FSConfig.loginConfig.fWords | 参数值格式为:["值1","值2"] 参数值不允许为空,参数长度不允许为 0 参数默认值为["sAMAccountName","cn","userPrincipalName","uid","displayName","name","sn"] |