当前位置：首页 > news >正文

LDAP 登录配置参数填写指南

news 2025/8/13 13:33:12

只有开启此选项，才能使用LDAP登录功能。

搜索库即Base DN（基本DN），用于指定搜索用户的起始位置。

格式为dc=域名片段,dc=域名片段，例如域名为maxcrc.com时，填写dc=maxcrc,dc=com。
注意：
- AD域：Base DN严格对应域名（如contoso.local对应dc=contoso,dc=local），可通过ADSI Edit工具查看。
- OpenLDAP：由管理员自定义，可能与域名无关（如dc=company,dc=internal），需向管理员确认。

这是用于绑定到LDAP服务器进行用户搜索等操作的用户账户的完整路径DN（区别名）,格式为cn=用户名,ou=组织单位,dc=域名片段,...。

示例：cn=admin,cn=Users,dc=maxcrc,dc=com
AD域：可以使用域管理员账户或具有相应权限的服务账户。例如，使用域管理员账户，其DN可能是cn=Administrator,cn=Users,dc=contoso,dc=com。
提示：若需查看域管理员的DN，可在域控制器的命令提示符中执行：dsquery user -samid Administrator | dsget user -dn
OpenLDAP：一般为具有搜索权限的管理账户，结构更灵活（如cn=manager,ou=Admin,dc=example,dc=org），需向管理员获取准确的账户DN。

填写上述Application DN对应的用户账户的密码。

用于匹配登录用户名的LDAP属性。

AD域：推荐填写sAMAccountName ，这是Windows登录名，如john_doe ，用于在AD中标识用户。
OpenLDAP：常用的有cn （通用名），也可以根据实际用户属性配置，如使用uid （用户标识符），具体要和OpenLDAP中存储用户标识的属性一致，可咨询管理员。

用于筛选用户的条件，格式为(属性=值)，支持通配符*。

AD域：例如要搜索所有用户，可以填写(objectClass=user) ；如果只想搜索特定用户名开头的用户，如以J 开头，可以填写(cn=J*) 。
OpenLDAP：搜索所有用户可以使用(objectClass=inetOrgPerson) ；搜索特定属性的用户，如搜索邮箱以@example.com 结尾的用户，可以填写(mail=*@example.com) 。

若LDAP用户未配置邮箱，系统将自动以“用户名+此后缀”生成邮箱（如`@dzz.com`）。

列出的用户名将不会通过ldap登录和同步用户信息，多个用户名用英文逗号分隔。根据实际需求，填入不需要参与LDAP登录和同步的用户名，如系统默认账户或测试账户等。

权限管理：确保配置中使用的Application DN账户具有足够的权限进行用户搜索等操作。如果权限不足，可能无法获取到完整的用户列表或出现搜索失败的情况。
证书配置（LDAPS）：当使用636端口（LDAPS）时，需要正确配置域控制器的证书，包括证书的申请、安装和信任关系设置，否则客户端无法与域控制器安全通信。
域结构变化：如果AD域的结构发生变化，如域名更改、组织单位（OU）调整等，需要及时更新搜索库（Base DN）等相关配置，以保证LDAP功能正常运行。

数据模型：OpenLDAP的数据模型相对灵活，不同的部署可能使用不同的对象类和属性定义。在配置user filed等参数时，一定要与实际的OpenLDAP数据模型相匹配。
安全配置：要关注OpenLDAP的访问控制列表（ACL）配置，确保Application DN账户具有读取用户信息的权限。同时，对于使用SSL/TLS加密的情况，要正确配置证书和加密参数。
版本兼容性：虽然大部分OpenLDAP版本都支持LDAP v3，但在升级或更换OpenLDAP版本时，要注意检查是否存在兼容性问题，可能需要对相关配置进行微调。