LDAP账户数据集
1. LDAP账户数据集概述
观远数据支持从LDAP中自动获取数据,并通过账户同步实现企业LDAP系统与观远数据分析平台之间的账户数据无缝衔接。
本功能于5.4.0版本上线,与原有LDAP账户关联功能的区别在于,LDAP账户关联需手动创建账户,且无法自动更新账户。而LDAP账户数据集可依托账户同步功能自动创建和更新账户,使与LDAP节点状态保持一致。
本文将以一个例子完整描述LDAP账户数据集从创建LDAP连接到完成账户同步的全过程。
2. LDAP账户数据集使用步骤
2.1 使用前准备
2.1.1 配置LDAP连接
路径:管理员设置-系统集成-LDAP。
URL即LDAP的服务器地址,检索位置即仅同步该目录下的节点信息。
2.1.2 整理LDAP账户存储的ObjectClass和所需字段
ObjectClass
账户同步所需字段(必填):如非用于账户同步则跳过此步。
请检查包含但不限于以下账户同步所需字段来源和对应字段。
所属表字段释义推荐来源本例来源用户
姓名姓名LDAP字段LDAP字段账号唯一账号使用cnname使用cnname账号类型participant对应只读用户
admin对应管理员
editor对应普通用户
ETL加工ETL加工用户组id部门/用户组idETL加工,
如LDAP无此字段可使用用户组内置objectGUID
ETL加工用户组
用户组id部门/用户组id优先使用LDAP字段,
如LDAP无此字段可使用用户组内置objectGUID
内置字段用户组名称部门/用户组名称LDAP字段LDAP字段父用户组id上级部门/用户组id优先使用LDAP字段,
如LDAP无此字段可使用用户组内置parentGUID
内置字段内置字段:见2.2.4
2.2 配置LDAP账户数据集
2.2.1 选择连接器
路径:数据中心-新建数据集-账户数据集,选择LDAP数据集。
2.2.2 选择数据表
选择默认企业后将自动带出LDAP配置信息。
选择LDAP中存储用户和用户组的ObjectClass后,会带出该Class的属性作为字段可供选择。
特殊情况:如发现所需字段不在可选范围内,则需判断该字段是继承自哪个类,选择该类才能看到该字段。
2.2.3 数据更新设置
为账户数据集设置一个合理的更新周期。我们支持手动更新、每天、每周、每月4种更新粒度。如果选择定时更新,根据选项还可进一步设置具体时间。
2.2.4 确认数据表信息
为账户数据集指定一个方便辨识的名字,以及指定保存位置。点击“确认新建”后,数据集创建成功。在数据集管理界面的对应文件夹目录下能找到对应的账户数据集。
用户和用户组账户数据集中的字段由内置字段和所选字段组成。内置字段有如下:
字段名称必含数据释义例子userid否--rdnld是当前节点名称&类型dn是当前节点所处目录路径cnname是K8S的默认的字段sAMAccountName
用作LDAP账号字段,否则将无法使用LDAP登录。
-parent是父节点所处目录路径OU=财务部,O=分公司A,DC=guandata,DC=comobjectSID否对象的安全标识符;如LDAP本身无id字段,可用作用户/用户组id69441024fffdafffd1b7e4252fffdobjectGUID否对象唯一标识符;如LDAP本身无id字段,可用作用户/用户组id4bfffdfffdfffd2436d49fffd7f4a4a8312.3 ETL加工
如不需要用于账户同步可跳过后续步骤。如LDAP中已具有账户同步所需的必填字段可跳过该步骤。
因账号类型、用户组在用户表中不一定存在或字段内容与账户同步要求不符合,所以可能会用到ETL加工。
2.4 账户同步
需特别注意的有:
如使用DN作为用户/用户组ID需要注意:DN的结构发生变化,在账户同步中体现为新增用户/用户组。
用户-账号需使用cnname,否则将无法使用LDAP登录,仅可使用观远账密登录。
如LDAP本身无用户组id,如想实现账户同步同时完成组信息同步,需使用ETL加工提供一个可用的用户组ID。
更多详情见《账户同步》帮助文档。
LDAP账户数据集
相关文章
