在“管理 → 集成 → LDAP”部分中，单击“连接服务器”按钮。
LDAP 服务器设置窗口将打开。
在表单字段中指定以下必需设置：
- 您公司的 LDAP 服务器的网址 (URL)。
  LDAP 服务器的网址按如下方式指定：ldap://<主机>:<端口>。例如：ldap://ldap.example.com:389。
- 基础分辨名称 – 在 LDAP 名称的上下文中，这是唯一标识和描述 LDAP 目录服务器记录的名称。
  例如，example.com 的基础分辨名称是 dc=example, dc=com。
- 用户授权筛选器 – 在 LDAP 搜索的上下文中，该筛选器生成用户授权请求并指示在 Active Directory 目录树中的何处开始搜索用户。
  用户授权的过滤器必须指定如下：sAMAccountName =% s, ou = Accounts。
- 用于定义 Active Directory 中的组搜索设置的组筛选器。
- 用于定义 Active Directory 中的用户搜索设置的用户筛选器。
在“基本模式”下，指定对象的以下属性和类的值：
- 对象类是要搜索的对象的类型。
- 组织单位类是将对象标识为域内容器对象的 LDAP 对象类。
- 用户类是将对象标识为用户的 LDAP 对象类。
- 组织单位名称是标识组名称的组属性。
- 组类是将 LDAP 对象标识为组的类。
- 分辨名称属性是记录的唯一可分辨名称。
在“用户设置”下，指定以下对象属性的值：
- 用户名字属性。
- 用户姓氏属性。
- 组名称属性。
- 用户用户名属性。
  使用用户账户授权时，可能需要同时指定用户名和领域，格式如下：<username @ realm>（例如 user@example.com）。
- 用户密码。
- 组成员。
- 用户电子邮件属性。
- 用户隶属。
单击 LDAP 服务器集成数据表单上方的“保存”按钮。
要验证填写的值是否正确，请单击 LDAP 服务器集成数据表单上方的“测试连接”按钮。
卡巴斯基容器安全将显示一条通知，通知您成功连接到 LDAP 服务器或建立连接失败。

配置 LDAP 服务器集成时填写的字段示例

{

"serverUrl": "ldap://freeipa.int.example.com",

"baseDn": "dc=int,dc=example,dc=com",

"bindUser": "sAMAccountName=%s,ou=Accounts",

"userFilter": "(&(uid=%s)(objectClass=person))",

"groupFilter": "(&(member=uid=%s,cn=users,cn=accounts,dc=int,dc=example,dc=com)(objectClass=posixgroup))",

"sslTrust": false,

"validateHost": false,

"baseSchema": {

"objectClassAttribute": "objectClass",

"organizationalUnitClass": "container",

"userClass": "person",

"organizationalUnitNameAttribute": "cn",

"groupClass": "posixGroup",

"distinguishedNameAttribute": "dn"

"userLookup": {

"userFirstnameAttribute": "givenName",

"userLastnameAttribute": "sn",

"groupNameAttribute": "cn",

"usernameAttribute": "uid",

"passwordAttribute": "krbExtraData",

"groupMemberAttribute": "memberUid",

"userEmailAttribute": "mail",

"userMemberOfAttribute": "memberOf"

}

如果 LDAP 服务器证书发生更改，请重新配置集成。

您可以在创建和分配用户角色时使用已配置的集成。

页首

目录

创建 LDAP 服务器集成