ldap首次连接很慢_可以“一键”搞定用户同步的LDAP是什么?

最新推荐文章于 2024-02-05 10:38:08 发布
最新推荐文章于 2024-02-05 10:38:08 发布
阅读量784 收藏 1
点赞数
文章标签: ldap首次连接很慢 无法将该对象添加到ldap服务器

前情提要

公司有很多IT系统,例如:企业邮箱、github、jenkins、grafna、zabbix、vpn、HR系统、用友、金蝶、文件系统、aws、aliyun、cmdb、jira、confluence……

在新员工入职时,要做的事情有这些:

  • 要根据员工的职位,确认开通IT系统的权限;
  • 在对应的IT系统中添加账户,设置密码;
  • 各种渠道通知到新员工,IT系统权限和IT系统访问地址。

在老员工离职时,上面的事又要做一遍。

在正常工作时,很多员工因各种奇葩原因忘记密码,来找你重置、修改。在员工升职、调换岗位时,又是一通修改和删除。

有木有很崩溃?这还不够,一个员工需要手动操作N次,每天会有0-N个员工,如果出现误操作,导致数据泄露。这口锅直接背起。有木有感觉不会再爱了。

解决方案

说了那么多痛点,其实解决方案很简单,有个认证管理中心就可以解决了,那就是LDAP。LDAP是什么?干什么用?

LDAP是Lightweight Directory Access Protocol的缩写,中文意思是目录服务的协议,并且以树状结构来存储数据。

主要用来存储企业人员信息和组织架构,并对其进行统一认证管理。同时可以与第三方应用集成,实现针对企业内部的人员或部门访问权限管理。

实例讲解

那咱们就来看一下LDAP在永洪BI中的使用,如何方便快捷进行永洪用户同步,以下实例中的LDAP连接相关信息,都是以ldapadmin连接LDAP服务器为例。

1、权限设置

进入 【管理系统】-【系统设置】-【权限管理系统配置】中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。如下图所示:

4d4c1b3c279345076b0d1c40e6c14a59.png

当用户选择LDAP同步&文件权限管理系统时,可以通过配置LDAP服务器与权限系统的对应关系,对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统,并赋予资源和操作的权限,如下图所示:

282f934ff8d13555a7e3d0ae847c26eb.png

2、LDAP配置

在LDAP配置页面需要配置以下属性,具体介绍如下所示。

  • 服务器配置

URL:LDAP服务器的url,一般格式为服务器的url:port,但通常需要带上ldap协议头,如:ldap://192.168.0.181:389;

每页条目数:每页可以导入的条目数,这个值是根据LDAP的用户总数由用户自行设定的,如设置为500或者1000;

用户名:登录LDAP的用户名称;

密码:登录LDAP的密码;

域名:LDAP服务器的域名,比如:dc=maxcrc,dc=com。域名可以在连接页面查询,如下图:

d66630867c54673915dc1b9ae4f98402.png

服务器配置页面如下所示:

d4396163efb3bc57b2b8632d5d645f65.png

注:若无特定设置用户名以及密码,可不填写该两项。

  • 用户属性配置

ObjectClass:LDAP对象类,是LDAP内置的数据模型,比如inetOrgPerson对象类。每种objectClass有自己的数据结构,比如“用户”的objectClass,会内置很多属性(attributes),如用户名(name),密码(password),电话(mobile)等;所有拥有此对象类的数据将会被当做一个用户条目来解析;

UID:用户的uid对应item中的file的名称的映射。比如:将LDAP条目中的“name”属性作为UID时,同步进系统后,“name”属性的值将对应系统中用户的用户名;

ObjectClass以及UID可在如下界面看到:

4ebe7163545dea4686994129618525d7.png
31b296ada3705d6474e179615e7fe535.png

属性配置:系统属性和LDAP属性的对应关系,如下图所示。

1b4d7cd9889d521d8adaf936d45e125f.png
26e021548e89b5ff6929f2fff7731825.png

LDAP配置中的组属性以及角色属性配置同用户属性配置。

  • 高级设置
35aaa409b2c045f3cfee64c665a49674.png

自定义转化器:给定制转化器预留的接口;

自定义同步器:给定制同步器预留的接口;

自定义认证器:有2种方式,即:g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor;

g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后,产品将使用LDAP服务器的密码进行认证登录;

g5.secure.fs.LDAP.impl.DefAuthenor表示同步后,产品将使用LDAP与产品的匹配字段作为密码进行认证登录;

V8.5.1之前默认为:g5.secure.fs.LDAP.impl.DefAuthenor,V8.5.1之后默认为:g5.secure.fs.LDAP.impl.LDAPAuthenor。

注:该配置为特定认证需求预留接口,基本配置中该配置一般不填写。

  • 定时同步设置
e33a8bedbde3b340956e7c678b5cb6e5.png

点击定时同步的输入框可在下拉列表中选择定时同步的时间,选择后,每天的这个时间系统都会自动与LDAP服务器进行同步。

  • 手动同步

配置好属性后,手动点击同步LDAP,系统则会按照配置好的对应关系进行同步。同步时,下方会自动显示LDAP同步的日志。

137edbc1e0711bc8f2de0708906f557d.png

实例结果

38725df8960b4e159d0ee9d8e5d4fe89.png

定制属性

若客户需要定制新的属性,比如是否管理员,用户地址等,都可以进行定制,定制方法如下:

12a55ca6aa009e02a1fb4d797c288bf2.png

注意:在定制用户属性时,新增用户属性的名称与参数名称需保持一致。新增定制属性后,可在2.2节属性配置-本地属性中查看。

4bac4c68fe094fa8c02aacb82db2fffe.png

►特别说明

  • 存量同步

如果LDAP已经同步过一次,再次进行同步时,称为“存量同步”。

当进行存量同步时,如果配置了产品与LDAP的匹配属性时,LDAP中的该属性值会覆盖产品中对应的属性值。

例如:

1、配置了产品中的“邮箱”和LDAP中的属性“email”匹配,再进行存量同步时,LDAP中的email属性值会覆盖产品中的邮箱配置。

2、LDAP中存在用户user1,为People组下成员。首次同步时,将user1同步到产品中,其父组为People。在产品中将user1的父组调整为group1,再进行存量同步,user1的父组又变为了People。

  • 注意事项

LDAP同步时不会校验邮箱和密码的合法性,即:即使邮箱和密码不填或不合法也可以同步成功。

LDAP用户的名称不可以修改。例如:将LDAP用户“user1”的名称改为“user2”,点击保存,会提示:LDAP用户不能修改用户名。

600f5894148d6590a6670c1dda7c3c30.png

以上为永洪BI中使用LDAP的实例说明,关于产品使用有什么问题,可在永洪服务平台进行咨询或在社区论坛进行相关搜索与提问。

47e5ae290f5c524ba44f0d206ceb2cd8.png
weixin_39911567
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是LDAP连接工具?如何利用好它.docx
05-29
# LDAP连接工具 LDAP是一种轻量级目录访问协议,用于在网络中访问分布式目录服务。要连接LDAP目录,需要一种LDAP连接工具。 以下是一些常用的LDAP连接工具: ## 1. Apache Directory Studio Apache Directory Studio是一个开源LDAP目录浏览器和编辑器。它提供了一个直观的界面,可以浏览和编辑LDAP目录。 ## 2. JXplorer JXplorer是一个跨平台的LDAP浏览器和编辑器。它提供了一个简单的用户界面,可以浏览和编辑LDAP目录。 ## 3. Softerra LDAP Browser Softerra LDAP Browser是一个LDAP浏览器和编辑器。它提供了一个直观的界面,可以浏览和编辑LDAP目录,并支持多种LDAP服务器。 ## 4. LdapAdmin LdapAdmin是一个LDAP浏览器和编辑器。它提供了一个简单的用户界面,可以浏览和编辑LDAP目录,同时支持多种LDAP服务器。 以上是一些常用的LDAP连接工具。如果要连接LDAP目录,请选择适合您的连接工具,并根据
ldap_delete.rar_c++ ldap_ldap_ldap删除条目
09-21
删除ldap的条目,输入指定条件即可删除相应的ldap条目
金蝶eas单点登录不跳转_LDAP不等于单点登录SSO
weixin_39897392的博客
12-10 485
LDAP(Lightweight Directory Access Protocol)即轻量目录访问协议,是一个开放、广泛被使用的工业标准(IEFT、RFC),在1993年就被提出。企业级软件也通常具备"支持LDAP"的功能,比如Jira, Confluence, openVPN等,企业也经常采用LDAP服务器来作为企业的认证源和数据源。但是大家比较常见的认识误区是,可以使用LDAP来实现SSO。...
浅谈LDAP服务
qq_26299837的博客
11-24 2075
LDAP是目录服务,前身是X500,但是X500不支持TCP/IP,所以出现了LDAP协议,默认端口是389。LDAP的查询速度很快,写入很慢,适用于读多写少的情况。 LDAP中的结构是树形的,一条记录,包含一个dn,dn由dc,ou,cn等组成,这正好是一个域名的方式,一个dn就是一个主键,用来表示这条记录的唯一性。 例如 dn:cn=harbor,ou=eng,dc=centling,dc
confluence的安装以及与LDAP集成
02-17
confluence的安装过程(附图),confluence与ldap的集成过程还有集成以后的部分权限设置过程,以便LDAP用户直接登录
confluence集成LDAP
weike_1005的博客
07-20 419
confluence集成LDAP
Confluence 6 自动添加用户用户
HONEY MOOSE
04-07 1840
默认组成员(Default Group Memberships)选项在 Confluence 3.5 及后续版本和 JIRA 4.3.3 及后续版本中可用。这字段将会在你选择 'Read Only, with Local Groups' 权限后出现。如果你希望你的用户能自动添加用户组或多个用户组,在这里输入你希望添加用户组的名字,如果有多个用户组,使用逗号分隔不同的用户组。在 Confluen...
confluence 调用 restful api 创建用户
qq_34741911的博客
11-02 720
confluence restful 创建用户
OpenLDAP及admin及文档
05-28
包括了OpenLDAPforWindows.exe和ldapadmin-4.10.13618.0-x86-eng.msi和LDAP.docx
LdapAdmin---LDAP工具
12-01
win下非常好用的LDAP查看工具,非常稳定。最新版,64位。
Sync_Data.rar_C LDAP AD_c++ ldap_ldap_数据同步
09-21
用于数据同步,将实现与企业LDAP或微软AD系统目录同步功能.
ldap.rar_c++ ldap_域用户验证
09-19
实现ldap身份验证功能.windows域服务器验证该用户是否是合法用户
LDAP.zip_LDAP DELPHI_active directory_class_delphi ldap_ldap
09-24
LDAP Class, Very Usefull Library & Class, ToShow How To Work With Active Directory From LDAP In DElphi
Ldap和confluence集成应用
anguoan的博客
10-28 491
ldap与confluence集成,统一ldap用户认证
LDAP简介,基本模型,安装LDAP,安装和配置LDAP管理工具PHPldapadmin
涂作权的博客
05-11 7882
目录 OpenLDAP 1.1. OpenLDAP简介 1.2. LDAP的基本模型 1.2.1. 目录树概念 1.2.2. DC、UID、OU、CN、SN、DN、RDN 1.2.3. 基本模型 1.3. LDAP的使用 1.4. 相关网址 1.5. 安装OpenLDAP 1.5.1. 系统环境信息 1.5.2. 基础的环境准备 1.5.3. OpenLDAP服务器的搭建 1.5.4. 安装和配置LDAP管理工具PHPldapadmin 1.OpenLDAP 1.1.OpenLD
统一身份认证(SSO/AD域/LDAP
weixin_44281141的博客
03-17 5440
公司需要一个统一认证系统,自助分配权限系统,定期审计,集中分配与追踪所有权限,便于记录。单点登录网络生活中随处可见,比如登录了QQ客户端,然后你可以打开腾讯微博,QQ空间,QQ邮箱,校友录等等一系列的应用,这时候我们不需要在一个个再输入用户名和密码了,作为受信任的站点,就可以直接登录了。入职后每个人会接触多个系统,项目管理系统,需求管理系统,代码仓库,持续集成,文件服务器,有八个系统就有八个密码,每个系统用一个密码安全隐患较大,每个系统都用不同的密码也不容易记住。收费较高,公司使用不建议使用破解版本。
Centos7 破解安装部署confluence wiki 6.3 与权限管理
最新发布
liuhongqwe的博客
02-05 556
退出当前登录,测试 li.mao 和 li.xinliang 这两个用户登录后的空间权限。在信创园研发 和 信创园运维两个空间下分别创建页面,测试。
use of undefined constant ldap_opt_debug_level itop
01-26
在iTop中,出现错误信息 "use of undefined constant ldap_opt_debug_level" 是因为缺少了一个LDAP选项的定义。 LDAP(轻型目录访问协议)允许用户对目录进行查询和修改。在使用iTop时,系统可能会使用LDAP作为身份验证机制,并且使用了一些相关的选项。其中一个选项是 "ldap_opt_debug_level",它用于设置LDAP的调试级别。 然而,当系统尝试使用该选项时,出现了 "use of undefined constant ldap_opt_debug_level" 错误,这意味着该选项未被正确地定义。 要解决这个问题,您可以检查iTop的配置文件,并确保以下几点: 1. 确保PHP的LDAP扩展已经安装并启用。您可以在php.ini文件中查找 "extension=php_ldap.dll" 或 "extension=ldap.so" 以确认是否正确启用。 2. 检查iTop的配置文件(通常为config-itop.php),查看是否存在一个正确的LDAP选项定义。例如,您可以搜索 "ldap_opt_debug_level" 并确认其定义类似于 ldap_opt_debug_level = 7。注意:调试级别(如7)仅作为示例,您可以根据您的需求进行调整。 3. 确保您的定义没有任何拼写错误或语法错误。例如,确保 "=" 前后的空格正确。 如果您仍然遇到问题,您可以检查iTop的文档或联系iTop的支持团队,获得更具体的帮助和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值