“一键”搞定用户同步，LDAP在永洪BI中的应用

时间 2020-01-22

标签一键搞定用户同步 ldap 应用栏目大数据繁體版

原文原文链接

前情提要git

公司有不少IT系统，例如:企业邮箱、github、jenkins、grafna、zabbix、***、HR系统、用友、金蝶、文件系统、aws、aliyun、cmdb、jira、confluence……github

在新员工入职时，要作的事情有这些：服务器

要根据员工的职位，确认开通IT系统的权限；
在对应的IT系统中添加帐户，设置密码；
各类渠道通知到新员工，IT系统权限和IT系统访问地址。
在老员工离职时，上面的事又要作一遍。数据结构

在正常工做时，不少员工因各类奇葩缘由忘记密码，来找你重置、修改。在员工升职、调换岗位时，又是一通修改和删除。架构

有木有很崩溃?这还不够，一个员工须要手动操做N次，天天会有0-N个员工，若是出现误操做，致使数据泄露。这口锅直接背起。有木有感受不会再爱了。ide

解决方案ui

说了那么多痛点，其实解决方案很简单，有个认证管理中心就能够解决了，那就是LDAP。LDAP是什么？干什么用?url

LDAP是Lightweight Directory Access Protocol的缩写，中文意思是目录服务的协议，而且以树状结构来存储数据。日志

主要用来存储企业人员信息和组织架构，并对其进行统一认证管理。同时能够与第三方应用集成，实现针对企业内部的人员或部门访问权限管理。对象

实例讲解

那我们就来看一下LDAP在永洪BI中的使用，如何方便快捷进行永洪用户同步，如下实例中的LDAP链接相关信息，都是以ldapadmin链接LDAP服务器为例。

一、权限设置

进入【管理系统】-【系统设置】-【权限管理系统配置】中进行设置。将权限管理系统修改成LDAP同步&文件权限管理系统。以下图所示：

当用户选择LDAP同步&文件权限管理系统时，能够经过配置LDAP服务器与权限系统的对应关系，对接用户的LDAP服务器。可经过这一类型将LDAP中的用户同步进系统，并赋予资源和操做的权限，以下图所示：

二、LDAP配置

在LDAP配置页面须要配置如下属性，具体介绍以下所示。

服务器配置
URL：LDAP服务器的url，通常格式为服务器的url：port，但一般须要带上ldap协议头，如：ldap://192.168.0.181:389；

每页条目数：每页能够导入的条目数，这个值是根据LDAP的用户总数由用户自行设定的，如设置为500或者1000；

用户名：登陆LDAP的用户名称；

密码：登陆LDAP的密码；

域名：LDAP服务器的域名，好比：dc=maxcrc,dc=com。域名能够在链接页面查询，以下图：

服务器配置页面以下所示：

注：若无特定设置用户名以及密码，可不填写该两项。

用户属性配置
ObjectClass：LDAP对象类，是LDAP内置的数据模型，好比inetOrgPerson对象类。每种objectClass有本身的数据结构，好比“用户”的objectClass，会内置不少属性(attributes)，如用户名(name)，密码(password)，电话(mobile)等；全部拥有此对象类的数据将会被当作一个用户条目来解析；

UID：用户的uid对应item中的file的名称的映射。好比：将LDAP条目中的“name”属性做为UID时，同步进系统后，“name”属性的值将对应系统中用户的用户名；

ObjectClass以及UID可在以下界面看到：

属性配置：系统属性和LDAP属性的对应关系，以下图所示。

LDAP配置中的组属性以及角色属性配置同用户属性配置。

高级设置

自定义转化器：给定制转化器预留的接口；

自定义同步器：给定制同步器预留的接口；

自定义认证器：有2种方式，即：g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor；

g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后，产品将使用LDAP服务器的密码进行认证登陆；

g5.secure.fs.LDAP.impl.DefAuthenor表示同步后，产品将使用LDAP与产品的匹配字段做为密码进行认证登陆；

V8.5.1以前默认为：g5.secure.fs.LDAP.impl.DefAuthenor，V8.5.1以后默认为：g5.secure.fs.LDAP.impl.LDAPAuthenor。

注：该配置为特定认证需求预留接口，基本配置中该配置通常不填写。

定时同步设置

点击定时同步的输入框可在下拉列表中选择定时同步的时间，选择后，天天的这个时间系统都会自动与LDAP服务器进行同步。

手动同步
配置好属性后，手动点击同步LDAP，系统则会按照配置好的对应关系进行同步。同步时，下方会自动显示LDAP同步的日志。

实例结果

定制属性

若客户须要定制新的属性，好比是否管理员，用户地址等，均可以进行定制，定制方法以下：

注意：在定制用户属性时，新增用户属性的名称与参数名称需保持一致。新增定制属性后，可在2.2节属性配置-本地属性中查看。

►特别说明

存量同步
若是LDAP已经同步过一次，再次进行同步时，称为“存量同步”。

当进行存量同步时，若是配置了产品与LDAP的匹配属性时，LDAP中的该属性值会覆盖产品中对应的属性值。

☞ 例如：

一、配置了产品中的“邮箱”和LDAP中的属性“email”匹配，再进行存量同步时，LDAP中的email属性值会覆盖产品中的邮箱配置。

二、LDAP中存在用户user1，为People组下成员。首次同步时，将user1同步到产品中，其父组为People。在产品中将user1的父组调整为group1，再进行存量同步，user1的父组又变为了People。

注意事项
LDAP同步时不会校验邮箱和密码的合法性，即：即便邮箱和密码不填或不合法也能够同步成功。

LDAP用户的名称不能够修改。例如：将LDAP用户“user1”的名称改成“user2”，点击保存，会提示：LDAP用户不能修改用户名。

以上为永洪BI中使用LDAP的实例说明，关于产品使用有什么问题，可在永洪服务平台进行咨询或在社区论坛进行相关搜索与提问。