--- hide: - toc --- # LDAP LDAP 英文全称为 Lightweight Directory Access Protocol，即轻型目录访问协议，这是一个开放的、中立的工业标准应用协议，通过 IP 协议提供访问控制和维护分布式信息的目录信息。如果您的企业或组织已有自己的账号体系，同时您的企业用户管理系统支持 LDAP 协议，就可以使用全局管理提供的基于 LDAP 协议的身份提供商功能，而不必在 DCE 5.0 中为每一位组织成员创建用户名/密码。您可以向这些外部用户身份授予使用 DCE 5.0 资源的权限。在全局管理中，其操作步骤如下： 1. 使用具有 __admin__ 角色的用户登录 DCE 5.0。点击左侧导航栏左下角的 __全局管理__ -> __用户与访问控制__ 。 ![global](https://docs.daocloud.io/daocloud-docs-images/docs/zh/docs/ghippo/images/ws01.png) 2. 在左侧导航栏点击 __身份提供商__ ，点击 __创建身份提供商__ 按钮。 ![身份提供商](https://docs.daocloud.io/daocloud-docs-images/docs/zh/docs/ghippo/images/ldap00.png) 3. 在 __LDAP__ 页签中，填写以下字段后点击 __保存__ ，建立与身份提供商的信任关系及用户的映射关系。 ![ldap](https://docs.daocloud.io/daocloud-docs-images/docs/zh/docs/ghippo/images/ldap01.png) | 字段 | 描述 | 举例值 | | -------------- | ------------------------------------------------------------ | ----------------------------------- | | 类型 | 支持 LDAP (Lightweight Directory Access Protocol) 和 AD (Active Directory) | LDAP | | 服务器 | LDAP 服务的地址和端口号 | 10.6.165.2:30061 | | 用户名称 | 登录的用户名 | cn=admin,dn=daocloud,dc=com | | 密码 | 登录的密码 | password | | 基准 DN | admin 的 DN，用于访问 LDAP 服务器 | dc=daocloud,dc=io | | 用户对象过滤器 | LDAP 用户的 LDAP objectClass
新建的用户将与所有这些对象类一起写入 LDAP，并且只要它们包含所有这些对象类，就会找到现在的 LDAP 用户记录。
DCE 5.0 已经帮用户自动填入，如需修改可直接编辑。 | inetOrgPerson, organizationalPerson | | 是否启用 TLS | 启用后将加密 DCE 5.0 与 LDAP 的连接 | 否 | | 全名映射 | 姓-sn；名-cn | 不可更改 | | 邮箱映射 | 是指将用户的电子邮件地址与 LDAP 帐户相关联。用于允许只有特定电子邮件域名的用户能够访问某些资源，如内部网站或文件共享 | 邮箱地址，不可更改 | **高级配置** | 字段 | 描述 | 举例值 | | -------------- | ------------------------------------------------------------ | ----------------------------------- | | 自动同步 | 默认 1 小时同步一次，可以自行配置 | 勾选 | | 数据同步模式 | 对于只读 LDAP 的数据，不可以在 DCE 5.0 平台上编辑用户信息
对于写入 LDAP 的数据，可以在 DCE 5.0 上编辑用户信息后再同步回 LDAP | 只读 | | 读取超时 | 当 LDAP 数据量较大时，调整该数值可以有效避免接口超时 | 600 毫秒 | | 用户名属性 | 是指在认证和授权过程中用于标识用户的属性。用户名属性是唯一的且不可更改的，可以是用户的电子邮件地址、登录名或其他由系统管理员定义的属性。用户名属性用作用户的唯一标识符，以便系统可以识别特定用户并授予其相应的权限。 | uid | | RDN 属性 | 是指用于创建 Relative Distinguished Name（RDN）的属性。在 X.500 和 LDAP 目录服务中，RDN 属性通常是唯一的，并且是用于标识目录树（Naming Context）中某个对象的一部分。例如，在“cn=John Doe,ou=People,dc=example,dc=com”中，“cn”就是 RDN 属性之一。RDN 属性定义了该对象在其父级对象下的相对名称，因此它必须唯一。当新对象添加到目录中时，它的 RDN 属性必须与同一层级中其他对象的RDN属性不同，否则将导致命名冲突。 | uid | | UUID 属性 | 是指唯一标识符（Universally Unique Identifier）属性。UUID 是由数字、字母和连字符组成的 36 个字符的字符串，用于在计算机系统中标识对象。UUID 可以确保在任何给定时间内，不同计算机上的对象都具有唯一标识符。 | entryUUID | 4. 在 __同步用户组__ 页签中，填写以下字段配置用户组的映射关系后，再次点击 __保存__ 。 ![身份提供商](https://docs.daocloud.io/daocloud-docs-images/docs/ghippo/images/ldap02.png) | 字段 | 描述 | 举例值 | | ---------------- | ------------------------------------------------------------ | --------------------------- | | 基准 DN | 用户组在 LDAP 树状结构中的位置 | ou=groups,dc=example,dc=org | | 用户组对象过滤器 | 用户组的对象类，如果需要更多类，则用逗号分隔。在典型的 LDAP 部署中，通常是 “groupOfNames”，系统已自动填入，如需更改请直接编辑。* 表示所有。 | * | | 用户组名 | cn | 不可更改 | !!! note 1. 当您通过 LDAP 协议将企业用户管理系统与 DCE 5.0 建立信任关系后，可通过手动同步或自动同步的方式，将企业用户管理系统中的用户或用户组一次性同步至 DCE 5.0。 1. 同步后管理员可对用户组/用户组进行批量授权，同时用户可通过在企业用户管理系统中的账号/密码登录 DCE 5.0。 1. 有关实际操作教程，请参阅 [LDAP 操作演示视频](../../../videos/ghippo.md#ldap)。