认证源-LDAP
概述
前提条件
| 序号 | 条件 | 说明 |
|---|---|---|
| 1 | 平台管理员权限 | 拥有专属集成平台的管理员账号 |
| 2 | LDAP 服务器信息 | BaseDN、服务器地址、服务器端口 |
| 3 | LDAP 管理员账号 | 有权限读取 LDAP 目录的管理员账号及密码 |
| 4 | 网络连通性 | 确保平台可正常访问 LDAP 服务 |
| 5 | 测试账号 | 准备一个测试用 LDAP 账号用于验证 |
操作步骤
添加LDAP认证源
添加认证源
1.
2.
配置基本信息
参考界面提示填写参数,建议 连接方式 选择 直接连接。
| 参数 | 说明 |
|---|---|
| 名称 | 自定义认证源名称,建议使用有意义的命名,如 [公司名]-LDAP-SSO |
| TLS | 根据 LDAP 实际情况勾选;默认不勾选。若启用 TLS,端口需切换为 636 |
| 管理员账号 | 填写有权限访问 LDAP 的管理员账号(完整 DN 格式,如 cn=admin,dc=example,dc=com) |
| 管理员密码 | 填写对应管理员账号的�密码 |
| 服务器地址 | 填写 LDAP 服务器的 IP 地址或域名 |
| 服务器端口 | 默认端口 389(标准 LDAP 端口,未加密明文通信) 默认端口 636(LDAPS 端口,通过 SSL/TLS 加密通信) 端口可自定义,TLS 加密端口需开启加密 |
| Base DN | 填写 LDAP 目录的基准辨别名,作为用户搜索的起点,如 dc=example,dc=com |
| 用户搜索条件 | 推荐使用默认值,也可根据实际需求调整,如 (objectClass=inetOrgPerson) |
| 用户对象类 | 指定 LDAP 中用户对象的对象类,常见值包括 inetOrgPerson、posixAccount、person 等 |
配置属性映射
属性映射定义了 LDAP 目录属性与平台用户属性的对应关系,建议在配置前先了解 属性管理 中的属性机制。左侧下拉菜单选择 LDAP 账号属性(如 uid、cn、mail 等) 右侧下拉菜单选择系统对应的用户属性(如 username、email 等) 选择映射方式: 不映射:该属性不会同步到系统用户 仅创建:只在用户首次创建时映射,后续不更新 创建且更新:用户创建时映射,并在每次登录时更新 
推荐映射关系:
1.
2.
3.
重要:至少需要配置一个唯一字段匹配规则(如 uid → username),这是系统识别已有用户的依据。
| LDAP属性 | 平台属性 | 映射方式 | 说明 |
|---|---|---|---|
| uid | username | 创建且更新 | LDAP 用户唯一标识符 |
| 创建且更新 | 用户邮箱地址 | ||
| cn | display_name | 创建且更新 | 用户显示名称 |
| telephoneNumber | phone_number | 创建且更新 | 用户电话号码 |
| ou | department | 创建且更新 | 用户所属部门 |
数据类型匹配:确保源属性和目标属性的数据类型兼容。数字型字段不应映射到日期型字段,否则可能导致数据异常。
配置JIT
JIT(Just-in-Time)允许用户首次通过 LDAP 登录时自动在系统中创建对应账号。JIT 开关:找到 JIT 配置区域,将开关切换为 已开启 状态。 更�新策略:配置 更新已有用户的属性 选项:
用户组配置: 指定用户组:通过 JIT 创建的用户会分配到指定用户组 不指定用户组:通过 JIT 创建的用户会创建在默认组中
说明:开启 JIT 后,当用户通过 LDAP 认证登录时,若系统中找不到匹配的用户账号,会根据映射规则自动创建新用户。若关闭此配置,则不在平台中的用户将显示为认证不通过。
| 选项 | 说明 | 适用场景 |
|---|---|---|
| 关闭 | 用户首次创建后,后续登录不更新任何属性 | 内部信息手动维护,仅使用 LDAP 进行认证 |
| 开启 | 每次登录时根据映射规则更新用户属性 | 以 LDAP 为主数据源,需保持信息同步 |
技巧:如在 LDAP 中维护了完整的用户信息并希望自动同步到系统,建议开启更新功能。
安全提示:默认用户组的权限配置非常重要,建议遵循最小权限原则。
完成配置
检查所有配置项,确认无误后点击 确定 保存。
验证与测试
基础功能测试
1.
2.
3.
4.
用户映射测试
1.
2.
3.
4.
常见问题
修改于 2026-05-06 10:59:29