启用 LDAP 服务器验证

LDAP 是基于标准、跨平台、可扩展的协议，它直接在 TCP/IP 的顶层运行。它被用于访问称为目录的专用数据库。

为避免维护多个用户凭证，您可以使用公司 LDAP 服务器来验证用户 ID 和密码。

作为先决条件，LDAP 服务器必须包含与所需用户角色相应的用户组。如需更多信息，请参阅管理用户。

1. 从“页眉”区域，单击 > LDAP > 为验证启用 LDAP。

2. 从“连接”部分，配置下列操作：

   • 服务器-键入进行验证的 LDAP 服务器的 IP 地址或主机名。如果您要在 MVE 服务器和 LDAP 服务器之间使用加密通信，请执行下列操作：

     1. 使用服务器主机的完全合格域名 (FQDN)。

     2. 访问网络主机文件，然后创建一个输入项，将服务器的主机名映射到其 IP 地址。

        注意：

        • 在 UNIX 或 Linux 操作系统中，网络主机文件通常可以在 /etc/hosts 中找到。
        • 在 Windows 操作系统中，网络主机文件通常可以在 %SystemRoot%\system32\drivers\etc 中找到。
        • TLS 协议要求服务器主机名与 TLS 证书中指定的“发布至”的主机名称相匹配。

   • 端口-输入本地计算机用于与 LDAP 社区服务器通信的端口号。默认的端口号是 389。

   • 根 DN-键入根节点的基础可分辨名称 (DN)。在 LDAP 社区服务器层级中，此节点应该是用户节点和组节点的直接祖先。例如：dc=mvptest,dc=com。

     

     注意： 当指定“根 DN”时，请确认只有 dc 和 o 是“根 DN”的一部分。如果 ou 或 cn 是用户和组节点的祖先，请在“用户搜索库”和“组搜索库”中使用 ou 或 cn。

3. 配置搜索设置。

   • 用户搜索库-键入在 LDAP 社区服务器中用户对象存在的节点。此节点是列出所有用户节点的“根 DN”下面的节点。例如：ou=people。

     

     如果用户处于 LDAP 社区服务器中的多个目录层级，请执行下列操作：

     1. 计算用户节点中的所有可能位置的任何共同上游层级。

     2. 包括“用户搜索库”字段中的配置。

     注意： 要让 MVE 从基础或根 DN 开始搜索用户，请选择启用嵌套用户搜索并清除“用户搜索库”字段。

   • 用户搜索过滤器-为定位 LDAP 社区服务器中的用户对象键入参数。例如：(uid={0})。

     

     “用户搜索过滤器”功能可以容纳多个条件和复杂的表达式。

     登录使用	在“用户搜索过滤器”字段中，键入
     常用名	(CN={0})
     登录名	(sAMAccountName={0})
     用户主体名称	(userPrincipalName={0})
     电话号码	(telephoneNumber={0})
     登录名或常用名	(|(sAMAccountName={0})(CN={0}))

     
     

     注意：

     • 这些表达式仅适用于 Active Directory® 服务器。
     • 对于“用户搜索过滤器”，唯一有效的形式是 {0}，这表示 MVE 搜索 MVE 的用户登录名。

   • 组搜索库-键入与 MVE 角色相对应的用户组所存在的 LDAP 社区服务器中的节点。此节点也在列出所有组节点的“根 DN”的下面。例如：ou=group。

     

     注意： 搜索库由逗号分隔的多个属性组成，例如 cn（常用名）、ou（组织单位）、o（组织）、c（国家）和 dc（域）。

   • 组搜索过滤器-键入用于在一个与 MVE 中角色相对应的组内定位用户的参数。

     注意： 根据您的后端 LDAP 社区服务器的配置，您可以使用形式 {0} 和 {1}。如果您使用 {0}，那么 MVE 搜索 LDAP 用户 DN。在用户验证过程中，内部检索用户 DN。如果您使用 {1}，那么 MVE 搜索 MVE 的用户登录名。

   • 组角色属性-键入包含组全名的属性。例如：cn。

     

   • 启用嵌套组搜索-搜索 LDAP 社区服务器内的嵌套组。

4. 单击绑定信息，然后配置设置。

   • 匿名绑定-如果 MVE 中没有保存 LDAP 配置，那么在默认情况下选择此选项。MVE 服务器不会为使用 LDAP 服务器查找设施而产生其身份或凭证到 LDAP 服务器。后续的 LDAP 查找会话只使用未加密的通信。

   • 简单绑定-在 MVE 服务器和 LDAP 服务器之间使用未加密的通信。如果您希望 MVE 服务器使用 LDAP 服务器查找设施，请执行下面的操作：

     1. 在“绑定 DN”字段中，键入绑定 DN。

     2. 键入绑定密码，然后确认密码。

        注意： “绑定密码”取决于 LDAP 服务器中的“绑定用户”设置。如果“绑定用户”被设置为非空，那么“绑定密码”是必需的。如果“绑定用户”被设置为空，那么“绑定密码”不是必需的。如需更多信息，请与您的 LDAP 管理员联系。

   • TLS-在 MVE 服务器和 LDAP 服务器之间使用加密的通信。MVE 服务器使用 MVE 服务器身份（绑定 DN）和凭证（绑定密码）完全验证自身到 LDAP 服务器。

     对于自签名证书，TLS 指纹必须对全系统范围内名为 cacerts 的 Java 虚拟机器密钥库可用。此密钥库存在于 [mve.home]/jre/lib/security 文件夹中，其中 [mve.home] 是 MVE 的安装文件夹。要配置这些设置，请执行下面的操作：

     1. 在“绑定 DN”字段中，键入绑定 DN。

     2. 键入绑定密码，然后确认密码。

        注意： “绑定密码”是必需的。

   • Kerberos-在 MVE 服务器和 LDAP 服务器之间使用加密的通信。 Kerberos 安全协议仅在实施 GSSAPI 的 Active Directory 中被支持。如需更多信息，请参阅 Kerberos 的文档。要配置这些设置，请执行下面的操作：

     1. 在“Kerberos 配置文件”字段中，浏览至 krb5.conf 文件。

        示例配置：

        [libdefaults]
            default_realm=ABC.COM
        
        [realms]
            ABC.COM = {
              kdc = abc1.abc.com
            }
        
        [domain_realm]
            .abc.com=ABC.COM

     2. 在“加密方法”菜单中，选择是否使用 SSL 加密。

     3. 在“KDC 用户名”字段中，键入“密钥分发中心 (KDC)”的名称。

     4. 键入 KDC 密码，然后确认密码。

     注意： 如果您要启用 Kerberos 验证，请参阅启用 Kerberos 验证。

5. 单击角色映射，然后配置下面的设置：

   • 管理员-键入在 MVE 中具有管理权限的 LDAP 中的现有角色。

   • 资产-键入在 MVE 中管理“资产”模块的 LDAP 中的现有角色。

   • 配置-键入在 MVE 中管理“配置”模块的 LDAP 中的现有角色。

   • 服务台-键入在 MVE 中管理“服务台”模块的 LDAP 中的现有角色。

   • 事件管理器-键入在 MVE 中管理“事件管理器”模块的 LDAP 中的现有角色。

   注意：

   • MVE 自动映射指定的 LDAP 组到其相应的 MVE 角色。
   • 您可以分配一个 LDAP 组到多个 MVE 角色，您也可以在一个角色字段中键入多个 LDAP 组。
   • 当在角色字段中键入多个 LDAP 组时，请使用竖线字符 (|) 来分隔多个 LDAP 组。例如，如果您要为“管理员”角色包括 admin 和 assets 组，请在“管理员”字段中键入 admin|assets。
   • 如果您只想使用“管理员”角色，而不是其他 MVE 角色，请将这些字段留空。

6. 单击应用 > 关闭。