使用 HZERO LDAP

LDAP是轻量目录访问协议。LDAP管理是对组织应用的LDAP信息设置的管理。LDAP只针对LDAP用户，LDAP用户的登录名和密码取自LDAP指向的外部系统中的数据。

组织下的LDAP属于该组织。LDAP设置包括服务器设置和用户属性设置两种LDAP信息设置，且有LDAP连接测试、LDAP同步用户、LDAP同步用户记录、禁用LDAP以及刷新LDAP等功能。

用户可以使用测试连接功能来检测LDAP服务器是否可以连通以及是否可以正常获取用户属性值，可以使用同步用户功能来将LDAP服务器中的用户信息同步到平台中，可以使用查看同步记录功能可以查看同步用户的基本信息。

作用

通过LDAP协议将外部系统的用户同步到HZERO子账户中，连接外部系统LDAP服务器，将用户账号同步到HZERO子账户中，使用户不需要新建账号就能使用HZERO系统。

• 菜单层次：租户层
• 菜单路径：系统管理 > LDAP

修改LDAP

在 LDAP 中共包含两种配置内容：服务器设置和用户属性设置，下面介绍一下这两种配置中各自包含的配置项的含义。

服务器设置

1. 目录类型：平台目前提供了两种常用的目录类型可供选择。

   • Microsoft Active Director：微软Windows Server中，负责架构中大型网络环境的集中式目录管理服务。

   • OpenLDAP：由OpenLDAP项目开发的轻量级目录访问协议（LDAP）的免费开源实现。

2. 主机名：运行 LDAP 的服务器主机名。例如：ldap://example.com。

3. 是否使用SSL：此选项会影响端口号。

4. 端口号：使用SSL时，端口号是636，不使用SSL时，端口号是389。

5. 基准DN：从LDAP根节点搜索用户。例如，cn=users，dc=example，dc=com。

6. 管理员登录名：拥有 LDAP 管理员权限的用户登录到 LDAP 的登录名。例如，user@domain.name 或 cn =用户， dc =域、dc =名称。

7. 管理员密码：拥有 LDAP 管理员权限的用户登录到 LDAP 的密码。

用户属性设置

1. 用户对象类:加载用户时使用的LDAP用户对象类。
2. 登录名属性：与平台中用户的登录名相匹配的LDAP字段。例如，cn、sAMAccountName、LoginName。
3. 邮箱属性：与用户的邮箱属性相匹配的LDAP字段。例如，email。
4. uuid属性：Ldap对象的唯一标识，大多数是entryUUID属性，Microsoft Active Directory可能是objectGUID属性，如果您的LDAP服务器确实不支持uuid，使用能唯一标识对象的字段即可，比如uid或者entryDN
5. 用户名属性：与用户的用户名相匹配的LDAP字段。例如，username。
6. 手机号属性：与用户的手机号相匹配的LDAP字段。例如，phonenumber。
7. 自定义筛选用户条件：额外的过滤条件用于同步用户，允许为空，表达式必须以(开始，以)结束，语法参考ldap search syntax。

测试连接

测试连接时，用户首先需要进行LDAP认证登录。

• LDAP登录名：登录LDAP系统进行LDAP用户认证时需要填写的登录名。
• LDAP登录密码：登录LDAP系统进行LDAP用户认证时需要填写的密码。

用户认证通过后可以进行LDAP基础连接和用户属性的校验。

同步用户

如果LDAP基础连接和用户属性校验通过。即可同步LDAP服务器中的用户信息至平台。

同步记录

点击同步记录，您可以查看此组织下的同步LDAP用户的历史记录。

列表字段：

• 同步时间： 同步用户所耗费的时间。
• 同步用户新增数量：同步用户新增用户数。
• 同步用户更新数量：同步用户更新用户数。
• 同步失败数量：此次同步用户失败的数量。

点击同步失败数量可以查看同步用户错误详情信息列表，获取同步失败的用户基本信息以及失败原因。

启用/停用LDAP

用户停用LDAP后，之前所同步的用户将无法登录平台，且之后无法继续同步用户和测试连接。启用后恢复正常登录和功能可用。