LDAP 網域內容

如果要編輯所建立 LDAP 網域的內容,請執行下列動作:
  1. 選取管理 > LDAP<網域名稱>
  2. 選取要編輯的網域。內容會顯示在「LDAP 網域內容」畫面中。
    「新建 LDAP 網域」畫面上的配置參數
  3. 編輯任何欄位的值,然後按一下儲存。以下是必要欄位:
    • 名稱
    • 主機
    • 連結使用者帳戶
    • 通訊協定
    • 顯示名稱
    • 識別名稱
    • 郵件名稱
    • 唯一 ID
  4. 如果您想將網域設為預設的使用網域,請按一下設為預設值
名稱
(必要)。LDAP 網域在 Build Forge 中的名稱。如果至少配置了一個 LDAP 網域,Build Forge 登入表單會依這個名稱來列出它們。
管理 DN
用來提供 LDAP 伺服器資料庫搜尋存取權的帳戶。如果您的伺服器容許使用匿名連結來搜尋資料庫,請將這個欄位留白。

部分 LDAP 伺服器需要管理連結來搜尋資料庫。這項設定可讓您指定管理者帳戶的 DN,如下例所示。

cn=Administrator,cn=users,dc=example,dc=com

密碼驗證密碼欄位中,指定「管理 DN」帳戶的密碼。

對映存取群組
決定是否要將 LDAP 伺服器中的對映群組資訊,對映至「管理主控台」中的存取群組。預設值為「否」。Build Forge 中每一個存取群組的 LDAP 群組 DN 內容,必須設定成 LDAP 中的正確群組名稱。
  • 若為,就不會將 LDAP 群組對映至 Build Forge 存取群組。在使用者至少登入一次後,您可以將使用者指派給 Build Forge 中的存取群組。使用這個選項時,意味著您管理的是 Build Forge 中之使用者的存取群組。當使用者第一次登入,並在 Build Forge 中建立使用者名稱時,會套用預設存取群組。
  • 若為,每當使用者登入 Build Forge 時,Build Forge 會重新整理 LDAP 伺服器中該使用者的群組成員資格資訊。自使用者前次登入以來,在 Build Forge 中對該使用者之存取群組成員資格所做的任何變更都會被改寫。使用這個選項時,意味著您管理的是 LDAP 中的所有群組成員資格。LDAP 群組成員資格會自動對映(新增或移除)至 Build Forge 中的存取群組。如下所示,會使用群組內容來判斷使用者的群組成員資格:
    1. 如果群組名稱不是空白,請查詢指定關鍵字的值。請使用傳回的值,作為使用者的群組。
    2. 如果群組名稱空白,或者其查詢沒有傳回一值,請使用群組搜尋基準群組唯一 ID 來查詢使用者隸屬的 LDAP 群組。
    3. 如果 (1) 和 (2) 中沒有傳回任何群組資訊,則容許使用者登入,並將指定作為新使用者之預設存取群組的存取群組中的成員資格指派給該使用者。
主機
(必要)。LDAP 伺服器的主機名稱和埠。範例:
ldapserver.mycompanyname.com
ldap.mycompany.com:9000
密碼
「管理 DN」帳戶的密碼。若有指定管理 DN,則此項為必要的。
驗證
重複輸入「管理 DN」的密碼。
連結使用者帳戶
(必要)。決定 Build Forge 在登入時,是否要試圖向 LDAP 驗證使用者的認證。預設值為「是」。
  • 若為,則 Build Forge 會向 LDAP 伺服器確認登入時所提供的使用者名稱與密碼。
  • 若為,則 Build Forge 會接受使用者名稱,不會進行驗證。當針對 Build Forge 實作「單一登入 (SSO)」之類的外部密碼驗證時,會使用這項設定。
通訊協定
(必要)。識別 Build Forge 從目錄服務讀寫資料,以鑑別 Build Forge 使用者時所用的通訊協定。預設值是 LDAP。如果您使用的是 LDAP over SSL (LDAPS),請輸入 LDAPS。這個選項需要其他的設定。請參閱啟用安全 LDAP (LDAPS)
顯示名稱
(必要)。輸入指定使用者完整名稱的索引鍵名稱。
識別名稱
(必要)。輸入指定使用者帳戶之「識別名稱」的索引鍵名稱。
郵件名稱
(必要)。輸入指定使用者電子郵件位址的索引鍵名稱。
群組名稱
輸入 LDAP 綱目中保留使用者所隸屬之群組清單的索引鍵名稱。只有在對映存取群組為「是」,或在使用授權的群組 DN 時,才會使用此選項。
授權的群組 DN
LDAP 群組的識別名稱。如果設定此選項,則只容許指定群組的成員登入。如果空白,則任何 有效的 LDAP 使用者都可以登入主控台。
寫入權群組 DN
判斷使用者具有一般還是唯讀存取權。其值可以是下列其中一項:
  • 空白 - 若為新登入,使用者類型會設為「一般」。現有使用者將保持已指派的使用者類型(「一般」、「唯讀」或 API)。在管理 > 使用者中,可以設定類型。
  • *(星號)- 所有登入的使用者類型皆為「一般」。
  • LDAP 群組名稱 - 如果使用者屬於此群組,則其類型會設為「一般」。如果使用者不屬於此群組,則其類型會設定成「唯讀」。
  • 其他 - 使用任何其他值,會將所有使用者強制設定成「唯讀」。例如:RO。
搜尋庫
(必要)。用來在 LDAP 記錄中查詢使用者的搜尋字串。範例:
cn=users,dc=buildforge,dc=com
唯一 ID
(必要)。識別 LDAP 資料庫中的欄位,以便用來和使用者在登入時所輸入的使用者名稱相比較。使用 % 字元作為使用者輸入的登入名稱。範例:
(sAMAccountName=%)
群組搜尋庫
需要群組唯一 ID。只有在對映存取群組為「是」,或在使用授權的群組 DN 時,才會使用此選項。用來在 LDAP 記錄中查詢群組資料的搜尋字串。如果您的 LDAP 資料庫用來儲存群組成員資格的資料庫,有別於用來儲存使用者記錄的資料庫,則此項為必要的。範例:
cn=groups,dc=buildforge,dc=com
群組唯一 ID
需要群組搜尋基準。只有在對映存取群組為「是」,或在使用授權的群組 DN 時,才會使用此選項。識別 LDAP 使用者資料庫中,用來取得群組成員資格資訊的欄位。過濾器可以利用使用者帳戶的任何資料欄位,作為群組表格的索引鍵。請使用 %fieldname% 語法來識別欄位。如果您的群組表格使用 sAMAccountname 欄位作為使用者的索引鍵,就可適用下列範例。
sAMAccountName=%sAMAccountname%

意見