LDAP认证源¶
最后更新:2021-12-06
1. 插件说明¶
IDaaS可以通过该插件将web登录时,用户提交的“用户名+密码”在AD或OpenLdap中进行验证,验证成功后登录到IDaaS平台。
2. 如何配置¶
2.1. 添加认证源¶
LDAP URL :LDAP服务器连接地址,需带端口
连接方式:是否启用 SSL 连接方式,如果启用,LDAP URL中的端口需使用 636 端口
LDAP Base :LDAP中的节点,会到该节点下认证账户
LDAP账户:需要有以上填写的Base的管理权限
LDAP账户密码:LDAP账户对应的密码
过滤条件:LDAP中匹配本系统用户名的筛选条件,如:(sAMAccountName=$username$)
更新IDaaS密码:如果LDAP认证成功后,会将LDAP密码覆盖IDaaS平台关联账户的密码,后续登录IDaaS时可以使用LDAP密码认证
使用IDaaS密码验证:当LDAP密码认证失败时,继续使用IDaaS密码认证
是否显示:在登录页展示认证源图标
账户关联方式:LDAP认证成功时,和IDaaS账户关联的方式
2.2. 启用认证源后,登录页切换LDAP插件认证源¶
3. 认证逻辑¶
1.查询登录账户
系统使用 “LDAP账户”(管理员账户)再“LDAP base”路径下查询登录账户信息,看是否存在,若存在找到该账户,得到CN信息。
2.通过“登录账户CN+登录密码”尝试连接LDAP,若成功则认证成功
3.若步骤2认证失败,在开启继续使用IDaaS认证时,继续使用IDaaS密码认证,若成功则认证成功
4.若开启覆盖IDaaS密码,在认证成功时,将用户提交的密码覆盖IDaaS的密码
4. 其他说明¶
添加认证源时,会有两个LDAP认证源。plugin_ldap为插件版本,LDAP为老版本。老版本不进行维护,后续改动在插件版本中改动