启用 LDAP 服务器验证

LDAP 是基于标准、跨平台、可扩展的协议，它直接在 TCP/IP 的顶层运行。它被用于访问称为目录的专用数据库。

为避免维护多个用户凭证，您可以使用公司 LDAP 服务器来验证用户 ID 和密码。

作为先决条件，LDAP 服务器必须包含与所需用户角色相应的用户组。如需更多信息，请参阅理解用户角色。

在页面的右上角单击。

单击 LDAP，然后选择为验证启用 LDAP。

在 LDAP 服务器主机名字段中，键入进行身份验证的 LDAP 服务器的 IP 地址或主机名。

注意：如果您要在 MVE 服务器和 LDAP 服务器之间使用加密通信，请使用完全合格域名 (FQDN)。

根据选择的加密协议指定服务器端口号。

选择加密协议。

无
TLS-是一种安全协议，使用数据加密和证书验证来保护服务器和客户端之间的通信。如果选择此选项，则在建立连接后，将 START_TLS 命令发送到 LDAP 服务器。如果要通过端口 389 进行安全通信，请使用此设置。
SSL/TLS-是一种安全协议，使用公钥加密来对服务器和客户端之间的通信进行身份验证。如果要从 LDAP 绑定的开始进行安全通信，请使用此选项。此选项通常用于端口 636 或其他安全的 LDAP 端口。

选择绑定类型。

匿名-默认选择此选项。MVE 服务器不会为使用 LDAP 服务器查找设施而产生其身份或凭证到 LDAP 服务器。在几乎所有的 LDAP 实现中，此选项都已弃用，并且永远不要使用。
简单-MVE 服务器为使用 LDAP 服务器查找设施而产生指定凭证到 LDAP 服务器。
1. 键入绑定用户名。
2. 键入绑定密码，然后确认密码。
Kerberos-要配置这些设置，请执行下面的操作：
1. 键入绑定用户名。
2. 键入绑定密码，然后确认密码。
3. 单击选择文件，然后浏览至 krb5.conf 文件。
SPNEGO-要配置这些设置，请执行以下操作：
1. 键入服务主体名称。
2. 单击选择文件，然后浏览至 krb5.conf 文件。
3. 单击选择文件，然后浏览至 Kerberos 密钥表文件。
此选项仅用于配置“简单且受保护的 GSSAPI 协商机制 (SPNEGO)”，以支持“单点登录”功能。

从高级选项部分，配置以下设置：

搜索库-根节点的基础可分辨名称 (DN)。在 LDAP 社区服务器层级中，此节点必须是用户节点和组节点的祖先。例如：dc=mvptest,dc=com。
注意：当指定根 DN 时，请确保只有 dc 和 o 是根 DN 的一部分。如果 ou 或 cn 是用户和组节点的祖先，请在用户和组搜索库中使用 ou 或 cn。
用户搜索库-在 LDAP 社区服务器中用户对象存在的节点。此节点是列出所有用户节点的根 DN 下面的节点。例如：ou=people。

用户搜索过滤器-用于在 LDAP 社区服务器中定位用户对象的参数。例如：(uid={0})。

注意：唯一有效的形式是 {0}，这表示 MVE 搜索 MVE 的用户登录名。

搜索用户基础对象和整个子树-系统搜索用户搜索库下面的所有节点。
组搜索库-包含与 MVE 角色相对应的用户组的 LDAP 社区服务器中的节点。此节点是在列出所有组节点的根 DN 的下面。例如：ou=group。
组搜索过滤器-用于在一个与 MVE 中角色相对应的组内定位用户的参数。
注意：只能使用 {0} 和 {1} 模式。如果使用 {0}，那么 MVE 搜索 LDAP 用户 DN。如果使用 {1}，那么 MVE 搜索 MVE 的用户登录名。
组角色属性-键入组的全名的 LDAP 属性。LDAP 属性具有特定含义，并且定义了属性和字段名称之间的映射。例如，LDAP 属性 cn 与全名字段相关联。LDAP 属性 commonname 也映射到全名字段。通常，此属性必须由 cn 的默认值决定。
搜索用户基础对象和整个子树-系统搜索组搜索库下面的所有节点。

从 LDAP 组到 MVE 角色映射部分，键入与 MVE 角色相对应的 LDAP 组的名称。

注意：

如需更多信息，请参阅理解用户角色。
您可以将一个 LDAP 组分配给多个 MVE 角色。您还可以在角色字段中键入多个 LDAP 组，使用竖线字符 (|) 来分隔多个组。例如，要为管理员角色包括 admin 和 assets 组，请在管理员角色的 LDAP 组角色字段中键入 admin|assets。
如果您只想使用管理员角色，而不是其他 MVE 角色，请将这些字段留空。

单击保存更改。