为sdAdmin启用LDAP身份验证
为sdAdmin启用LDAP认证¶
要为sdAdmin启用LDAP身份验证,必须在服务器模式下安装sdAdmin,修改 config_local.py 或 config_distro.py 文件中LDAP相关设置。 建议从config.py文件复制这些设置,并修改以下参数的值:
| 参数 | 描述 |
|---|---|
| AUTHENTICATION_SOURCES | 此参数的默认值为内部。 要启用LDAP身份验证,您必须在此参数的值列表中包括ldap。可以如下修改值: * [ ldap]:sdAdmin将仅使用LDAP身份验证。*['ldap','internal']:sdAdmin将首先尝试通过LDAP验证用户身份。 如果该身份验证失败,则将使用sdAdmin的内部用户条目进行身份验证。 * ['internal','ldap']:sdAdmin将首先尝试通过内部用户条目对用户进行身份验证。 如果该身份验证失败,则将使用LDAP身份验证。 |
| LDAP_AUTO_CREATE_USER | 指定是否要自动创建与LDAP用户凭据相对应的sdAdmin用户。 请注意:LDAP密码未存储在sdAdmin数据库中。 |
| LDAP_BASE_DN | 指定服务器从中开始搜索用户的基本DN。 例如,服务器将从基本DN(dc = example,dc = com)开始执行对任何用户的LDAP搜索。 当基本DN匹配时,将使用完整DN(cn = admin,dc = example,dc = com)绑定提供的密码。 |
| LDAP_CA_CERT_FILE | 指定受信任的CA证书文件的路径。 仅当使用ldaps作为连接协议并且已将LDAP_USE_STARTTLS参数设置为True时,此参数才适用。 |
| LDAP_CERT_FILE | 指定服务器证书文件的路径。 仅当使用ldaps作为连接协议并且已将LDAP_USE_STARTTLS参数设置为True时,此参数才适用。 |
| LDAP_CONNECTION_TIMEOUT | 指定LDAP认证的连接超时(以秒为单位)。 |
| LDAP_KEY_FILE | 指定服务器私钥文件的路径。 仅当使用ldaps作为连接协议并且已将LDAP_USEr STARTTLS参数设置为True时,此参数才适用。 |
| LDAP_SEARCH_BASE_DN | 指定要搜索的最高用户目录的专有名称(DN)。 可以使用此参数将搜索请求限制为特定的用户组。 例如,如果只想在名为sales的组织中搜索,则可以按以下方式定义LDAP_SEARCH_BASE_DN参数的值:LDAP_SEARCH_BASE_DN ='ou = sales,dc = example,dc = com’ 这是一个可选参数。 如果您未为LDAP_SEARCH_BASE_DN指定任何值,则将LDAP_BASE_DN的值视为相同。 |
| LDAP_SEARCH_FILTER | 定义条件以检索LDAP搜索请求中的匹配条目。 例如,LDAP_SEARCH_FILTER ='(objectclass = HR)'设置仅搜索以HR作为其objectClass属性的用户。 |
| LDAP_SEARCH_SCOPE | 指示在基本DN处或以下的一组条目,这些条目可能被视为搜索请求的潜在匹配项。 可以将搜索范围指定为基础、层级或子树搜索。 基础搜索将搜索限制为基础对象。 级别搜索仅限于基础对象的直接子级,但不包括基础对象本身。 子树搜索包括所有子对象以及基础对象。 |
| LDAP_SERVER_URI | LDAP URI是连接协议(ldap或ldaps),是要连接的目录服务器的IP地址/主机名和端口的组合。 例如,“ldap://192.168.201.20:389”是有效的LDAP_SERVER_URI,其中ldap是连接协议,192.168.201.20是IP地址,389是端口。 端口636用于ldaps通信协议。 |
| LDAP_USERNAME_ATTRIBUTE | 指定包含用户名的LDAP属性。 对于LDAP身份验证,需要输入该特定属性的值作为用户名。 例如,如果将LDAP_USERNAME_ATTRIBUTE的值设置为“cn”并且在LDAP服务器条目中定义了“cn = admin”,则应该能够通过在“电子邮件地址/用户名”字段及其对应的字段中输入“admin”进行身份验证 密码字段中的密码。 |
| LDAP_USE_STARTTLS | 指定是否要使用传输层安全性(TLS)在LDAP客户端和LDAP服务器之间进行安全通信。 如果您在LDAP_SERVER_URI中将连接协议指定为ldaps,则将忽略此参。 |