LDAP认证

第三方认证界面

admin/平台管理员/平台成员登录云平台后,在ZStack私有云主菜单,点击高级功能 > 企业管理 > 第三方认证按钮,进入第三方认证界面,如Figure 1所示:
Figure 1. 第三方认证界面


添加LDAP服务器

第三方认证界面,点击添加AD/LDAP服务器按钮,并选择LDAP类型,可参考以下步骤添加LDAP服务器:
  1. 配置LDAP服务器:设置LDAP服务器相关的基本信息和配置信息。
    可参考以下示例输入相应内容:
    • 基本信息:配置用于添加LDAP服务器的基本信息,需要设置以下参数:
      • 名称:自定义LDAP服务器名称
      • 简介:可选项,设置备注信息或简介信息
      • 主服务器IP/域:输入主LDAP服务器IP地址或域
      • SSL/TLS加密:选择是否开启SSL/TLS加密,默认开启
        • 勾选表示使用SSL/TLS加密,此方式默认使用636端口,支持自定义修改。
        • 不勾选表示不使用任何加密方式,此方式默认使用389端口,支持自定义修改。
      • 主服务器端口:输入主LDAP服务器对应的端口
      • 备服务器IP/域:可选项,输入备LDAP服务器IP地址
      • 备服务器端口:可选项,输入备LDAP服务器对应的端口
    • 配置信息:配置同步LDAP用户范围相关配置信息,需要设置以下参数:
      • 基本DN:输入基本DN,用于检索LDAP用户的根节点,规定同步LDAP用户的范围
      • 用户DN:输入用户DN,拥有查询基本DN范围内所有用户权限的特殊用户,用于登录LDAP服务器并获取相关数据
      • 密码:用户DN对应的登录密码
      • 过滤规则:用于过滤基本DN中不需要同步的用户
        Note:
        • 过滤规则输入长度受LDAP服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
        • 过滤规则输入语法与LDAP过滤语法一致,详情请参考微软官方链接
        • 例如:若过滤规则设置为(&(name=filterName)(description=departure)),表示过滤基本DN中name=filterName且description=departure的用户。
    Figure 2所示:
    Figure 2. 配置LDAP服务器




    LDAP服务器配置完成后,点击左上角下一步按钮,自动测试连接并进入下一步,或点击左下角测试连接按钮,检测配置正确性以及LDAP服务器连通性。
    • 若测试成功,点击下一步按钮,继续设置其他参数;
    • 若测试失败,请参考右上角报错信息修改配置并重新测试,直到测试成功。
  2. 同步映射规则:设置登录属性以及LDAP与云平台间的用户映射。
    可参考以下示例输入相应内容:
    • 登录属性(用于LDAP认证):指定用于云平台登录的LDAP用户属性

      例如:若使用cn作为登录属性,LDAP用户可使用cn相应的value(例如:xiaoming)作为云平台登录名。

    • 用户映射:选择或输入LDAP用户与云平台用户之间的映射关系,需要设置以下参数:
      • 用户名:设置云平台用户的用户名与LDAP用户的用户名映射关系

        例如:若用户名映射cn,云平台创建用户的用户名将使用cn相应的value(例如:xiaoming)。

        Note: ZStack云平台中用户的用户名不能重复,若同步LDAP用户与云平台原有用户名重复,系统将自动为同步过来LDAP用户的用户名增加随机码。
      • 姓名:设置云平台用户的姓名与LDAP用户的姓名映射关系

        例如:若姓名映射cn,云平台创建用户的姓名将使用cn相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与LDAP用户的手机号映射关系

        例如:若手机号映射mobile,云平台创建用户的手机号将使用mobile相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与LDAP用户的邮箱映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与LDAP用户的编号映射关系

        例如:若编号映射employeeNumber,云平台创建用户的编号将使用employeeNumber相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与LDAP用户的简介映射关系

        例如:若简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-小明)。

      • 自定义属性:自定义用户映射属性,需要设置以下参数:
        • 系统用户属性:设置系统用户属性,可与原有属性重复,例如:工号
        • AD/LDAP用户属性:设置LDAP用户属性,例如:employeeNumber
    Figure 3所示:
    Figure 3. 同步映射规则


    点击下一步按钮,系统将自动测试登录属性、用户映射是否可以建立,成功后,自动添加映射规则。
    Note: 请确保填写LDAP映射参数,否则可能导致测试失败。若测试失败,请根据右上报错信息修改后重新点击下一步按钮,直到测试并添加映射规则成功。
  3. 确认提交:查看将要添加LDAP服务器的相关信息,支持跳转修改
    Figure 4所示:
    Figure 4. 确认提交


    点击确定按钮,将根据设置的配置添加LDAP服务器,并创建第三方用户。

LDAP服务器详情页

点击添加的LDAP服务器名称进入LDAP服务器详情页,如Figure 5所示:
Figure 5. LDAP服务器详情页


LDAP服务器详情页包括两个页面:
  • 基本属性:

    基本属性页面显示名称、简介、概览、同步映射规则等LDAP服务器相关的基本属性。其中,名称、简介、配置信息、自动同步支持修改。

  • 审计:

    审计页面显示LDAP服务器相关的操作日志。

LDAP服务器支持的操作

admin/平台管理员/平台成员对LDAP服务器及第三方用户支持操作,主要包括以下几个入口:
  • 第三方认证界面,支持以下操作:
    • 测试连接
      检查LDAP服务器连通性,若连接失败,可能存在以下原因:
      • LDAP服务器IP端口验证失败:请检查LDAP服务器是否正常工作以及是否有IP或端口变更。
      • 用户DN或密码连接失败:请更换最新拥有查询基本DN范围内所有用户权限的用户DN及密码。
    • 修改同步映射规则
      修改用户同步映射规则。
      Note: 修改的同步映射规则将在下次同步LDAP服务器后生效,请手动点击同步按钮或设置自动同步等待下次同步。
    • 同步
      同步LDAP服务器将重新获取最新用户列表。
      Note: 同步后不存在的用户将变更为已删除状态并无法登录。
    • 删除
      删除添加的LDAP服务器。
      Note: 删除LDAP服务器将同时删除同步的用户,请谨慎操作。
  • LDAP服务器详情页支持以下操作:
    • 修改配置信息
      点击配置信息后面的修改按钮支持修改基本DN、用户DN、密码、过滤规则信息。
      Note:
      • 修改配置信息后将根据最新配置同步LDAP服务器,请谨慎操作。
      • 修改配置将在下次同步LDAP服务器后生效,请手动点击同步按钮或设置自动同步等待下次同步。
      • 同步后不存在的用户将变更为已删除状态并无法登录。
    • 自动同步
      点击自动同步后面的修改按钮支持指定同步周期并开启自动同步功能。
      Note:
      • 开启自动同步后将根据同步周期按时获取最新用户列表。
      • 同步后不存在的用户将变更为已删除状态并无法登录。