LDAP 连接管理快速入门


本文描述了如何从 LDAP 服务器导入 LDAP 用户、并授权 LDAP 用户的过程。


导入并授权 LDAP 用户的流程如下图所示:


../../../_images/flow1.png

目标读者

组织管理员

开始前准备

  1. 确保 LDAP 服务器正常运行。

  2. 你必须知道 LDAP 服务器的管理员帐号的用户名和密码。此管理员帐号应具有对所有 base DN 的完全的访问权限。

  3. 在 IAM 中已创建 LDAP 用户的访问策略。详细信息,参考 创建和管理策略

步骤 1:建立与 LDAP 服务器的连接

  1. 在 EnOS 管理控制台中选择 身份与授权 > LDAP 连接管理

  2. 在点击 LDAP 页面中,点击 新建 LDAP 连接,提供如下信息:

    • :域是 LDAP 连接的唯一识别码。

    • LDAP 主服务器:LDAP 服务器 IP 地址或者URL。

    • 端口号:可选,LDAP 服务器的端口号。

    • base DN:从 LDAP 目录服务器导入用户时使用的根专有名称(DN)。支持一次在一个 LDAP 服务器下配置多个 base DN。base DN 之间使用分号(;)分割。例如cn=users,dc=example,dc=com;ou=users,dc=example,dc=com

    • 过滤条件:Base D N的条件过滤字段。例如,FILTER=memberOf=CN=group,CN=developers,DC=example,DC=com

      备注

      确保所选择的条目均为有效的帐号条目。


    • User DN 或用户名:LDAP 服务器的管理员帐号的用户名。

    • 密码:LDAP 服务器的管理员帐号的密码。

    • 属性匹配:系统属性与 LDAP 属性之间的匹配关系。


  3. 点击 测试 对 LDAP 连接进行测试。

    • 如果测试成功,则点击 完成 来新建 LDAP 连接;

    • 如果测试失败,则需要根据相应提示修改配置信息后重新提交测。

步骤 2:开启 LDAP 身份验证

完成新建 LDAP 连接后,在 LDAP 连接管理 页面中,切换 LDAP 认证 开启用 LDAP 用户登录。

步骤 3:(可选)将 LDAP 用户帐号同步至 IAM 中

提前导入 LDAP 帐号可以帮助你对 LDAP 帐号进行集中授权。

执行以下步骤导入 LDAP 用户:

  1. LDAP 连接管理 页面中,点击需要同步的 LDAP 服务器后的 查看

  2. 点击 同步,将所配置的 base DN 下的帐号信息按照设定的属性匹配规则全部导入到 EnOS IAM 中。

备注

IAM 中已有的帐号不会被再次导入。

步骤 4:授权 LDAP 用户帐号

你可以单独授权 LDAP 用户,也可以将 LDAP 用户添加到授权组。

  • 已授权的 LDAP 用户直接登录EnOS云端并可访问被授权的服务。

  • 未经授权的 LDAP 用户在登陆后无法访问任何服务。他们需要联系组织管理员以请求权限。

授权的具体过程,参考 创建和管理用户

结果

当所有配置完成,用户可通过已被导入授权的 LDAP 合法帐号登录到 EnOS 管理控制台。