如何配置PrivacyIDEA LDAP协议集成AD?
- By : Will
- Category : privacyIDEA
1 前言
一个问题,一篇文章,一出故事。
笔者的PrivacyIDEA需要通过与LDAP集成来获取用户信息,于是产生本文。
2 最佳实践
2.1 准备PrivacyIDEA环境
如果你没有PrivacyIDEA环境,请参阅以下章节准备,
2.2 准备AD环境
AD环境非本章重点,请自行准备。
2.3 配置LDAP解析器
2.3.1 概念和功能作用
– UserIdResolver,中文称用户身份解析器
– 该功能用户配置用户的来源(来源包括/etc/passwd、ldap、SQL、scim)
2.3.2 操作方法
如上图所示:
单击【Config】->【Users】->【New ldapresolver】
配置如下属性,
Resolver name: ad
Server URI: ldap://10.168.0.250:389
STARTTLS: False
Base DN: dc=cmdschool,dc=org
Scope: SUBTREE
Bind DN: cn=admin,cn=users,dc=cmdschool,dc=org
Bind Password: *****
Bind Type: Simple
Timeout (seconds): 5
Cache Timeout (seconds): 120
Size Limit: 500
Server pool retry rounds: 2
Server pool skip timeout (seconds): 30
Per-process server pool: False
Edit user store: False
Loginname Attribute: sAMAccountName
Search Filter: (sAMAccountName=*)(objectCategory=person)
Attribute mapping: { “phone” : “telephoneNumber”, “mobile” : “mobile”, “email” : “mail”, “surname” : “sn”, “givenname” : “givenName” }
UID Type: objectGUID
No anonymous referral chasing: True
No retrieval of schema information: False
单击【Test LDAP Resolver】->【Save resolver】分别完成测试和保存
2.4 配置领域
2.4.1 概念和功能作用
– Realm,中文称领域
– 用类似分组的形式将用户分配的某个领域
2.4.2 操作方法
如上图所示:
单击【Config】->【Realms】
配置如下属性,
Realm name: cmdschool.org
resolvers: ad(ldapresolver)
单击【Create realm】->【set Default】
2.5 查看用户
单击【User】->【All users】即可查看LDAP导入的用户
=============================
https://privacyidea.readthedocs.io/en/v3.6.2/index.html
没有评论