大數(shù)據(jù)平臺>行業(yè)資訊>“一鍵”搞定用戶同步，LDAP在

“一鍵”搞定用戶同步，LDAP在永洪BI中的應(yīng)用

作者: 永洪BI??來源: 永洪科技??時間:2020年01月20日0

前情提要

公司有很多IT系統(tǒng)，例如:企業(yè)郵箱、github、jenkins、grafna、zabbix、vpn、HR系統(tǒng)、用友、金蝶、文件系統(tǒng)、aws、aliyun、cmdb、jira、confluence……

在新員工入職時，要做的事情有這些：

要根據(jù)員工的職位，確認開通IT系統(tǒng)的權(quán)限；
在對應(yīng)的IT系統(tǒng)中添加賬戶，設(shè)置密碼；
各種渠道通知到新員工，IT系統(tǒng)權(quán)限和IT系統(tǒng)訪問地址。

在正常工作時，很多員工因各種奇葩原因忘記密碼，來找你重置、修改。在員工升職、調(diào)換崗位時，又是一通修改和刪除。

有木有很崩潰?這還不夠，一個員工需要手動操作N次，每天會有0-N個員工，如果出現(xiàn)誤操作，導(dǎo)致數(shù)據(jù)泄露。這口鍋直接背起。有木有感覺不會再愛了。

解決方案

說了那么多痛點，其實解決方案很簡單，有個認證管理中心就可以解決了，那就是LDAP。LDAP是什么？干什么用?

LDAP是Lightweight Directory Access Protocol的縮寫，中文意思是目錄服務(wù)的協(xié)議，并且以樹狀結(jié)構(gòu)來存儲數(shù)據(jù)。

主要用來存儲企業(yè)人員信息和組織架構(gòu)，并對其進行統(tǒng)一認證管理。同時可以與第三方應(yīng)用集成，實現(xiàn)針對企業(yè)內(nèi)部的人員或部門訪問權(quán)限管理。

實例講解

那咱們就來看一下LDAP在永洪BI中的使用，如何方便快捷進行永洪用戶同步，以下實例中的LDAP連接相關(guān)信息，都是以ldapadmin連接LDAP服務(wù)器為例。

1、權(quán)限設(shè)置

進入【管理系統(tǒng)】-【系統(tǒng)設(shè)置】-【權(quán)限管理系統(tǒng)配置】中進行設(shè)置。將權(quán)限管理系統(tǒng)修改為LDAP同步&文件權(quán)限管理系統(tǒng)。如下圖所示：

當(dāng)用戶選擇LDAP同步&文件權(quán)限管理系統(tǒng)時，可以通過配置LDAP服務(wù)器與權(quán)限系統(tǒng)的對應(yīng)關(guān)系，對接用戶的LDAP服務(wù)器。可通過這一類型將LDAP中的用戶同步進系統(tǒng)，并賦予資源和操作的權(quán)限，如下圖所示：

2、LDAP配置

在LDAP配置頁面需要配置以下屬性，具體介紹如下所示。

服務(wù)器配置

URL：LDAP服務(wù)器的url，一般格式為服務(wù)器的url：port，但通常需要帶上ldap協(xié)議頭，如：ldap://192.168.0.181:389；

每頁條目數(shù)：每頁可以導(dǎo)入的條目數(shù)，這個值是根據(jù)LDAP的用戶總數(shù)由用戶自行設(shè)定的，如設(shè)置為500或者1000；

用戶名：登錄LDAP的用戶名稱；

密碼：登錄LDAP的密碼；

域名：LDAP服務(wù)器的域名，比如：dc=maxcrc,dc=com。域名可以在連接頁面查詢，如下圖：

服務(wù)器配置頁面如下所示：

注：若無特定設(shè)置用戶名以及密碼，可不填寫該兩項。

用戶屬性配置

ObjectClass：LDAP對象類，是LDAP內(nèi)置的數(shù)據(jù)模型，比如inetOrgPerson對象類。每種objectClass有自己的數(shù)據(jù)結(jié)構(gòu)，比如“用戶”的objectClass，會內(nèi)置很多屬性(attributes)，如用戶名(name)，密碼(password)，電話(mobile)等；所有擁有此對象類的數(shù)據(jù)將會被當(dāng)做一個用戶條目來解析；

UID：用戶的uid對應(yīng)item中的file的名稱的映射。比如：將LDAP條目中的“name”屬性作為UID時，同步進系統(tǒng)后，“name”屬性的值將對應(yīng)系統(tǒng)中用戶的用戶名；

ObjectClass以及UID可在如下界面看到：