1 前言

一个问题，一篇文章，一出故事。
笔者的PrivacyIDEA需要通过与LDAP集成来获取用户信息，于是产生本文。

2 最佳实践

2.1 准备PrivacyIDEA环境

如果你没有PrivacyIDEA环境，请参阅以下章节准备，

如何基于RHEL 8.x部署PrivacyIDEA？

2.2 准备LDAP环境

如果你没有LDAP环境，请参阅以下章节准备，

如何部署基于CentOS 6.x的389-DS服务？

2.3 配置LDAP解析器

2.3.1 概念和功能作用

– UserIdResolver，中文称用户身份解析器
– 该功能用户配置用户的来源（来源包括/etc/passwd、ldap、SQL、scim）

2.3.2 操作方法

如上图所示：
单击【Config】->【Users】->【New ldapresolver】
配置如下属性，
Resolver name: 10.168.0.155
Server URI: ldap://10.168.0.155:389
STARTTLS: False
Base DN: ou=people,dc=cmdschool,dc=org
Scope: SUBTREE
Bind DN: cn=director manager
Bind Password: *****
Bind Type: Simple
Timeout (seconds): 5
Cache Timeout (seconds): 120
Size Limit: 500
Server pool retry rounds: 2
Server pool skip timeout (seconds): 30
Per-process server pool: False
Edit user store: False
Loginname Attribute: uid
Search Filter: (&(|(objectclass=person))(|(uid=*)))
Attribute mapping: { “phone” : “telephoneNumber”, “mobile” : “mobile”, “email” : “mail”, “surname” : “sn”, “givenname” : “givenName” }
UID Type: DN
No anonymous referral chasing: True
No retrieval of schema information: False
单击【Test LDAP Resolver】->【Save resolver】分别完成测试和保存

2.4 配置领域

2.4.1 概念和功能作用

– Realm，中文称领域
– 用类似分组的形式将用户分配的某个领域

2.4.2 操作方法

如上图所示：
单击【Config】->【Realms】
配置如下属性，
Realm name: cmdschool.org
resolvers: ldap priority(ldapresolver)
单击【Create realm】->【set Default】

2.5 查看用户

单击【User】->【All users】即可查看LDAP导入的用户
=============================
https://privacyidea.readthedocs.io/en/v3.6.2/index.html