LDAP 连接管理快速入门¶
本文描述了如何从 LDAP 服务器导入 LDAP 用户、并授权 LDAP 用户的过程。
导入并授权 LDAP 用户的流程如下图所示:
目标读者 ¶
组织管理员
开始前准备 ¶
- 确保 LDAP 服务器正常运行。
- 你必须知道 LDAP 服务器的管理员帐号的用户名和密码。此管理员帐号应具有对所有 base DN 的完全的访问权限。
- 在 IAM 中已创建 LDAP 用户的访问策略。详细信息,参考 创建和管理策略。
步骤 1:建立与 LDAP 服务器的连接 ¶
在 EnOS 管理控制台中选择 身份与授权 > LDAP 连接管理。
在点击 LDAP 页面中,点击 新建 LDAP 连接,提供如下信息:
域:域是 LDAP 连接的唯一识别码。
LDAP 主服务器:LDAP 服务器 IP 地址或者URL。
端口号:可选,LDAP 服务器的端口号。
base DN:从 LDAP 目录服务器导入用户时使用的根专有名称(DN)。支持一次在一个 LDAP 服务器下配置多个 base DN。base DN 之间使用分号(;)分割。例如
cn=users,dc=example,dc=com;ou=users,dc=example,dc=com
。过滤条件:Base D N的条件过滤字段。例如,
FILTER=memberOf=CN=group,CN=developers,DC=example,DC=com
。注解
确保所选择的条目均为有效的帐号条目。
User DN 或用户名:LDAP 服务器的管理员帐号的用户名。
密码:LDAP 服务器的管理员帐号的密码。
属性匹配:系统属性与 LDAP 属性之间的匹配关系。
点击 测试 对 LDAP 连接进行测试。
- 如果测试成功,则点击 完成 来新建 LDAP 连接;
- 如果测试失败,则需要根据相应提示修改配置信息后重新提交测。
步骤 2:开启 LDAP 身份验证 ¶
完成新建 LDAP 连接后,在 LDAP 连接管理 页面中,切换 LDAP 认证 开启用 LDAP 用户登录。
步骤 3:(可选)将 LDAP 用户帐号同步至 IAM 中 ¶
提前导入 LDAP 帐号可以帮助你对 LDAP 帐号进行集中授权。
执行以下步骤导入 LDAP 用户:
- 在 LDAP 连接管理 页面中,点击需要同步的 LDAP 服务器后的 查看。
- 点击 同步,将所配置的 base DN 下的帐号信息按照设定的属性匹配规则全部导入到 EnOS IAM 中。
注解
IAM 中已有的帐号不会被再次导入。
步骤 4:授权 LDAP 用户帐号 ¶
你可以单独授权 LDAP 用户,也可以将 LDAP 用户添加到授权组。
- 已授权的 LDAP 用户直接登录EnOS云端并可访问被授权的服务。
- 未经授权的 LDAP 用户在登陆后无法访问任何服务。他们需要联系组织管理员以请求权限。
授权的具体过程,参考 创建和管理用户。
结果¶
当所有配置完成,用户可通过已被导入授权的 LDAP 合法帐号登录到 EnOS 管理控制台。