Когда использовании LDAP аутентификации, Архива производит аутентификацию в службе каталогов, таких как OpenLDAP с использованием связки логин/пароль.
Во время LDAP авторизации происходит следующее:
- Архива авторизуется в службе каталогов используя "Service DN" и пароль
- Архива ищет пользователя, начиная с Bind DN, ищя совпадения имени пользователя с со значением поля Bind Attribute (обычно, UID)
- Архива извлекает DN найденного пользователя
- Архива использует извлеченные DN для логина в службе каталогов
- После входа в систему Архива ищет соответствия роли и получает адрес электронной почты пользователя из поля Email Attribute (как правило, email or mail).
Так как структуры каталогов, как правило являются уникальными в разных организациях, необходимо позаботиться чтобы базовый DN, учетная запись службы входа DN, связывают атрибут и атрибут электронной почты являлись правильными для целевого каталога. Например, некоторые компании используют "mail" как место, где хранятся адреса электронной почты пользователей, в то время как другие каталоги используют "email". Чтобы определить структуру каталога, полезно подключить его с помощью Linux утилиты ldapsearch командной строки или один из множества LDAP браузеров. После правильной настройки LDAP, необходимо создать одну или несколько ролей для назначения ролей Архива пользователям находящимся в каталоге.
Поле | Описание | Пример |
---|---|---|
LDAP Server Address | Fully qualified domain name of LDAP server | openldap.company.com:389 |
Base DN | The distinguished name of the location in AD where Архива should start searching for end-user entries. | dc=company,dc=com |
Service Account Login | DN The distinguished name of an admin user in LDAP | cn=Administrator,cn=Users, dc=company, dc=com |
Service Account Password | The service account password | |
Mail Attribute | The mail attribute where the user’s email addresses are obtained mail | |
Mail Value | The regular expression used to extract the user’s email address from the mail attribute | (.*) |
Bind Attribute | The field in LDAP that contains the username or login name of the user. | uid |
Поле | Описание | Server.conf пример |
---|---|---|
Alternate Email Address | Secondary location where the user's emails can be found. Архива will retrieve the user's email addresses from both the mail attribute and the alternate email address. | ldap3.alternateemailaddress.attribute=emai |
Alternate Email Address Value | The regular expression pattern used to extract the email address. If you wish to take as is, use (.*). If you email addresses are in the format SMTP:joe@blog.com, then you would specify SMTP:(.*). Note position of brackets. | ldap3.alternateemailaddress.value=(.*) |