配置LDAP同步
Parent page: 管理用户
为简化连接并访问公司网络的流程,Altium Infrastructure Server 通过其浏览器界面提供对目录服务的支持。
这提供了基于 Lightweight Directory Access Protocol(LDAP)的域用户同步功能,它会查询网络的中央 LDAP 服务器,以获取域用户的用户组与角色成员关系信息。通过既有目录服务以这种方式对域用户进行身份验证,有望实现一次登录即可访问所有公司系统(包括 Altium Infrastructure Server)。
LDAP 同步
LDAP 同步允许 Altium Infrastructure Server 管理员复用网络域中现有的用户名与密码凭据,这样就无需在 Infrastructure Server 浏览器界面的 USERS 页面上逐个手动创建用户凭据。正确设置后,USERS 页面将自动填充用户凭据,使列表中的任何用户都能使用其常规的公司网络用户名和密码登录 Altium Infrastructure Server。
本文详细介绍了一种已被验证的方法,该方法已成功用于在域上设置 LDAP 同步。在你自己的域上设置 LDAP 同步时,可以尝试采用此方法。
我需要什么?
- 对 Altium Infrastructure Server 的管理员访问权限。
- 可选项:一个非常有帮助的工具是名为 LDAP Admin 的应用程序(从 http://www.ldapadmin.org/ 下载 LdapAdminExe-<version>.zip)
获取 LDAP 搜索字符串(Distinguished Name)
通过 Altium Infrastructure Server 的浏览器界面配置 LDAP 同步任务时,你需要提供 LDAP Distinguished Name(DN)。它以字符串格式输入,用于标识 LDAP 搜索的基对象。为获取该字符串,我们将使用 LDAP Admin 工具,因此请先确保已下载 zip 文件,并解压其中的 LdapAdmin 可执行文件。
下载并解压 LdapAdmin.exe 文件。
以管理员身份运行 LdapAdmin.exe 可执行文件(右键单击并选择 Run as administrator)。
当 LDAP Admin 面板打开后,选择 Start » Connect 以访问 Connections 对话框,然后双击 New connection 以访问 Connection properties 对话框。
在 LDAP Admin 工具中创建新连接。
在 Connection properties 对话框的 General 选项卡中,根据你的域配置连接信息,例如:
- Connection name:连接图标使用的任意名称。
- Host:testsite.com
- Port:389
- Base:DC=testsite, DC=com
- 启用 GSS-API 选项。
- Account:保持 Use current user credentials 选项启用即可。
使用标准 LDAP 时的连接配置示例。如果使用 LDAPS(LDAP over SSL),
将 Port 改为 636,并启用 SSL 选项。
连接属性配置完成后,点击 Test connection 按钮。如果一切设置正确,你应会看到 Connection is successful 消息。点击 OK 完成创建新连接。
现在你需要识别用于定位 LDAP 搜索基对象的字符串。操作如下:
- 选择你新创建的连接,并在 Connections 对话框中点击 OK——将显示你的网络域与用户组层级结构。
- 展开相关文件夹路径,直到到达包含所需用户的文件夹。
- 右键单击该文件夹,并从上下文菜单中选择 Search 命令。这将打开 Search 面板。你要找的关键信息是已在 Path 字段中填充的字符串。从左到右读取,该字符串表示在域结构中自下而上到达此用户文件夹的路径。以我们的示例为例,假设有一个特定用户文件夹——Managers——它是父文件夹——Users——的子级。在这种情况下,我们的字符串为: OU=Managers,OU=Users,DC=testsite,DC=com。
- 将该字符串复制并粘贴到文本文件中以便后续配置使用,或者也可以选择保持 Search 面板处于可访问状态。
到此为止,后续步骤不再需要 LDAP Admin 工具。
配置 Altium Infrastructure Server 使用 LDAP 同步
现在,让我们把重点放在 Altium Infrastructure Server 上。通过其浏览器界面以管理员身份登录目标 Altium Infrastructure Server。如果你打算从 LDAP 自动创建用户凭据,那么你可能需要删除任何现有的手动创建用户。因此,理想情况下只保留默认的管理员角色用户——admin 和 System。
目标 Altium Infrastructure Server 示例:仅包含两个默认管理用户 admin 和 System。
如果你希望 LDAP 同步导入的用户关联到某个特定角色,可以切换到 Roles 选项卡并按需创建一个新角色,且先不添加任何用户。以我们的示例为例,我们将创建一个名为 Managers 的角色。
现在切换到 LDAP Sync 选项卡,并点击 
按钮以打开 Add LDAP Sync Task 对话框。
通过 Infrastructure Server 的浏览器界面添加新的 LDAP 同步任务。
填写以下信息(基于我们在上一节使用的示例域结构):
常规
- Target Role:Managers
- Url:LDAP://testsite.com:389
- DN:OU=Managers,OU=Users,DC=testsite,DC=com
- Filter:将此字段留空,以获取域中由指定组(在 DN 字段中)确定的所有用户。如果域结构中该指定区域还包含进一步的用户分组,你可以在此处使用合适的过滤字符串仅提取其中一部分用户。
例如,假设在 Managers 组下还有一组被赋予管理权限的用户(CN=Administrators)。要仅定位这组用户,而不是 Managers(位于域结构的 OU=Managers 区域下)中的所有用户,可以编写一个查询字符串来定位域结构中的该位置:
(&(objectClass=user)(memberof=CN=Administrators,OU=Managers,OU=Users,DC=testsite,DC=com))
- Scope:sub
- Attributes:sAMAccountName
身份验证
- User Name:domain\<your username>(例如 testsite\jason.howie)
- Password:<your password>
属性映射
- First Name:givenName
- Last Name:sn
- Email:mail
- User Name:sAMAccountName
用户身份验证类型
- Radio button: Windows
- Domain:testsite.com
使用标准 LDAP 时,已填写所有必需信息的 LDAP 同步任务配置示例。如果使用 LDAPS(LDAP over SSL),则 Url
项将改为 LDAPS://testsite.com:636。
完成所有设置输入后,点击 
。这将启动同步过程,可能需要一两分钟,因为它会处理你刚输入的信息。请查看 LDAP Sync 页面顶部的同步状态消息,以确认过程何时完成。
现在点击 Users 选项卡。该列表现在应会按 OU=<GroupName> 设置填充所有用户(见下方示例图)。此后,任何人都可以使用其常规 Windows 登录信息登录 Altium Infrastructure Server。
通过使用 LDAP 同步为 Altium Infrastructure Server 填充用户的示例。
AI 翻译