配置使用 LDAP 目录

LDAP（ Lightweight Directory Access Protocol ） 是轻量目录访问协议，iPortal、 iServer 和  iEdge 均支持 LDAP 目录存储的用户。

具体使用时，您需要先进行 LDAP 登录配置，然后就可以使用 LDAP 服务器中的用户登录 iPortal、 iServer 和  iEdge。本文将以 iServer 为例进行介绍配置与使用 LDAP 目录的方法。

• LDAP 登录配置
  • 配置基本信息
  • 配置角色映射
• 使用 SSL 连接 LDAP 服务器

LDAP 登录配置

在服务管理器首页（WebManager）依次点击“安全”、“ LDAP 登录配置”选项卡，进入 LDAP 登录配置页面。

配置基本信息

LDAP 登录方式默认未启用，勾选“是否启用 LDAP 登录 ”选项后，需要设置 LDAP 服务器地址、 LDAP 管理员名称、 LDAP 管理员密码以及根条目位置等信息，其中：

1. “LDAP 服务器地址”：可用的 LDAP 服务器地址，如“ldap://192.168.17.13:389”，如果 LDAP 连接协议为 SSL ，则 LDAP 服务器地址格式为“ldaps://192.168.17.13:636”。其中 192.168.17.13 为 LDAP 服务器所在机器的 IP 地址。
2. “LDAP 连接协议”：TLS 和 SSL 为两种连接协议，通过连接协议的使用，LDAP 服务器和 iServer 服务器的数据交换更安全。连接协议的选择要根据 LDAP 服务器支持的连接协议而定。
3. “LDAP 管理员名称”：LDAP 服务器管理员名称，如：cn=Manager,dc=maxcrc,dc=com 。
4. “LDAP 管理员密码”：与 LDAP 管理员名称对应的管理员密码，如：secret 。
5. “根条目位置”：基准 DN ，如：dc=maxcrc,dc=com。

请注意：

1、如果选择的 LDAP 服务器使用了 SSL 连接协议，您还需要配置使用 SSL 连接 LDAP 服务器；

2、如果您选择使用 Active Directory 服务器中的 LDAP 服务器，还需要在 %SuperMap iServer_HOME%/webapps/iserver/WEB-INF/shiro.ini 文件中添加如下配置：

ldapRealm.userNamingAttribute = userPrincipalName

     若您使用较早版本的 Windows 系统，如 Windows 95、Windows 98 等。该值需填写为 sAMAccountName。

配置角色映射

在 LDAP 登录配置页面可以为 LDAP 群组映射角色，这样隶属于该 LDAP 群组的所有用户都具有与角色对应的访问权限。

点击“添加角色映射”按钮，在弹出的“添加角色映射”对话框（如下图所示）中选择 LDAP 群组名称（与 LDAP 服务器中根条目位置的群组名称对应），然后为该群组选择对应的 iServer 角色，点击“确定”按钮后 ，即完成了角色映射添加，这样隶属于该 LDAP 群组的所有用户，均可登录访问 iServer ，并具有与群组映射的角色对应的访问权限。在 LDAP 登录配置页面可以查看已添加的 LDAP 群组与 iServer 角色的映射关系，并可编辑和删除已添加的角色映射关系。

使用 SSL 连接 LDAP 服务器

如果 LDAP 服务器使用 SSL 加密连接协议，则还需如下设置才能顺利使用该服务器：

1. 在 OpenSSL 官网下载 OpenSSL ，并成功安装。如：安装路径 D:\OpenSSL-Win64 。
2. 将 D:\OpenSSL-Win64\bin 目录添加到系统的 PATH 环境变量中。
3. 可以在任意位置打开命令行窗口，并输入如下命令:

openssl.exe s_client -connect 192.168.17.13:636 -servername 192.168.17.13 -showcerts | openssl x509 -outform pem > e:/ldap.cer   

192.168.17.13 为 LDAP 服务器所在机器的 IP 地址；e:/ldap.cer 指定生成的 LDAP 服务器证书文件路径，ldap.cer 是新生成证书文件的名称，只要文件以*.cer 后缀结尾均可。

4. 将新生成的证书导入 JRE 中。在 %SuperMap iServer_HOME%/support/jre 目录下打开命令行窗口，并需输入如下命令:

keytool -import -v -trustcacerts -alias ldap -file e:/ldap.cer -storepass changeit -keystore ./lib/security/cacerts

./lib/security/cacerts 为 cacerts 文件所在路径；ldap 为别名，可以任意填写；e:/ldap.cer 为第三步中生成的证书文件的路径。

5. 修改 %SuperMap iServer_HOME%/bin/catalina.bat 文件，在 set JAVA_OPTS=%JAVA_OPTS% -Xms256m -Xmx1536m -Xss512k 后新增一行代码，如下：

set JAVA_OPTS=%JAVA_OPTS% -Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true

6. 重启服务，即可在 LDAP 登录配置中选择以 SSL 协议连接 LDAP 服务器。