「一鍵」搞定用戶同步，LDAP在永洪BI中的應用

時間 2020-01-22

標籤一鍵搞定用戶同步 ldap 應用欄目大數據简体版

原文原文鏈接

前情提要git

公司有不少IT系統，例如:企業郵箱、github、jenkins、grafna、zabbix、***、HR系統、用友、金蝶、文件系統、aws、aliyun、cmdb、jira、confluence……github

在新員工入職時，要作的事情有這些：服務器

要根據員工的職位，確認開通IT系統的權限；
在對應的IT系統中添加帳戶，設置密碼；
各類渠道通知到新員工，IT系統權限和IT系統訪問地址。
在老員工離職時，上面的事又要作一遍。數據結構

在正常工做時，不少員工因各類奇葩緣由忘記密碼，來找你重置、修改。在員工升職、調換崗位時，又是一通修改和刪除。架構

有木有很崩潰?這還不夠，一個員工須要手動操做N次，天天會有0-N個員工，若是出現誤操做，致使數據泄露。這口鍋直接背起。有木有感受不會再愛了。ide

解決方案ui

說了那麼多痛點，其實解決方案很簡單，有個認證管理中心就能夠解決了，那就是LDAP。LDAP是什麼？幹什麼用?url

LDAP是Lightweight Directory Access Protocol的縮寫，中文意思是目錄服務的協議，而且以樹狀結構來存儲數據。日誌

主要用來存儲企業人員信息和組織架構，並對其進行統一認證管理。同時能夠與第三方應用集成，實現針對企業內部的人員或部門訪問權限管理。對象

實例講解

那我們就來看一下LDAP在永洪BI中的使用，如何方便快捷進行永洪用戶同步，如下實例中的LDAP鏈接相關信息，都是以ldapadmin鏈接LDAP服務器爲例。

一、權限設置

進入【管理系統】-【系統設置】-【權限管理系統配置】中進行設置。將權限管理系統修改成LDAP同步&文件權限管理系統。以下圖所示：

當用戶選擇LDAP同步&文件權限管理系統時，能夠經過配置LDAP服務器與權限系統的對應關係，對接用戶的LDAP服務器。可經過這一類型將LDAP中的用戶同步進系統，並賦予資源和操做的權限，以下圖所示：

二、LDAP配置

在LDAP配置頁面須要配置如下屬性，具體介紹以下所示。

服務器配置
URL：LDAP服務器的url，通常格式爲服務器的url：port，但一般須要帶上ldap協議頭，如：ldap://192.168.0.181:389；

每頁條目數：每頁能夠導入的條目數，這個值是根據LDAP的用戶總數由用戶自行設定的，如設置爲500或者1000；

用戶名：登陸LDAP的用戶名稱；

密碼：登陸LDAP的密碼；

域名：LDAP服務器的域名，好比：dc=maxcrc,dc=com。域名能夠在鏈接頁面查詢，以下圖：

服務器配置頁面以下所示：

注：若無特定設置用戶名以及密碼，可不填寫該兩項。

用戶屬性配置
ObjectClass：LDAP對象類，是LDAP內置的數據模型，好比inetOrgPerson對象類。每種objectClass有本身的數據結構，好比「用戶」的objectClass，會內置不少屬性(attributes)，如用戶名(name)，密碼(password)，電話(mobile)等；全部擁有此對象類的數據將會被當作一個用戶條目來解析；

UID：用戶的uid對應item中的file的名稱的映射。好比：將LDAP條目中的「name」屬性做爲UID時，同步進系統後，「name」屬性的值將對應系統中用戶的用戶名；

ObjectClass以及UID可在以下界面看到：

屬性配置：系統屬性和LDAP屬性的對應關係，以下圖所示。

LDAP配置中的組屬性以及角色屬性配置同用戶屬性配置。

高級設置

自定義轉化器：給定製轉化器預留的接口；

自定義同步器：給定製同步器預留的接口；

自定義認證器：有2種方式，即：g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor；

g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步後，產品將使用LDAP服務器的密碼進行認證登陸；

g5.secure.fs.LDAP.impl.DefAuthenor表示同步後，產品將使用LDAP與產品的匹配字段做爲密碼進行認證登陸；

V8.5.1以前默認爲：g5.secure.fs.LDAP.impl.DefAuthenor，V8.5.1以後默認爲：g5.secure.fs.LDAP.impl.LDAPAuthenor。

注：該配置爲特定認證需求預留接口，基本配置中該配置通常不填寫。

定時同步設置

點擊定時同步的輸入框可在下拉列表中選擇定時同步的時間，選擇後，天天的這個時間系統都會自動與LDAP服務器進行同步。