Когда использовании LDAP аутентификации, Архива производит аутентификацию в службе каталогов, таких как OpenLDAP с использованием связки логин/пароль.
Во время LDAP авторизации происходит следующее:
- Архива авторизуется в службе каталогов используя "Service DN" и пароль
- Архива ищет пользователя, начиная с Bind DN, ищя совпадения имени пользователя с со значением поля Bind Attribute (обычно, UID)
- Архива извлекает DN найденного пользователя
- Архива использует извлеченные DN для логина в службе каталогов
- После входа в систему Архива ищет соответствия роли и получает адрес электронной почты пользователя из поля Email Attribute (как правило, email or mail).
Так как структуры каталогов, как правило являются уникальными в разных организациях, необходимо позаботиться чтобы базовый DN, учетная запись службы входа DN, связывают атрибут и атрибут электронной почты являлись правильными для целевого каталога. Например, некоторые компании используют "mail" как место, где хранятся адреса электронной почты пользователей, в то время как другие каталоги используют "email". Чтобы определить структуру каталога, полезно подключить его с помощью Linux утилиты ldapsearch командной строки или один из множества LDAP браузеров. После правильной настройки LDAP, необходимо создать одну или несколько ролей для назначения ролей Архива пользователям находящимся в каталоге.
| Поле | Описание | Пример |
|---|---|---|
| Адрес LDAP сервера | Полное доменное имя сервера LDAP | openldap.company.com:389 |
| Base DN | Отличительное имя место в LDAP, где Архива должны начать поиски записей конечного пользователя. | dc=company,dc=com |
| Service DN | DN отличительное имя пользователя с правами администратора в LDAP | cn=Administrator,cn=Users, dc=company, dc=com |
| Пароль | Пароль | |
| Email Attribute | Атрибут где храняться значения пользовательской почты | |
| Mail Value | Регулярное выражения используемое для извлечения адреса электронной почты из атрибута почты | (.*) |
| Bind Attribute | Поле в LDAP которое содержит имя пользователя или логин. | uid |
В дополнение к вышеуказанным свойствам, дополнительные расширенные свойства LDAP могут быть установлены непосредственно путем редактирования файла Архива server.conf с помощью текстового редактора, например, Wordpad или Vi.
| Поле | Описание | Server.conf пример |
|---|---|---|
| Альтернативный атрибут адреса электронной почты | Вторичный место, где адреса электронной почты пользователя могут быть найдены. Архива будет извлекать адреса электронной почту пользователей из обоих атрибутов email и alternateemailaddress. | ldap3.alternateemailaddress.attribute=emai |
| Альтернативное значение альтернативного атрибута адреса электронной почты | Шаблон регулярного выражения, используемый для извлечения адреса электронной почты. Если вы хотите принять значение как есть, используйте (. *). Если для адреса электронной почты используется формат SMTP: joe@blog.com, то вы должны указать SMTP: (*.). Отметьте положение скобки. | ldap3.alternateemailaddress.value=(.*) |