LDAP 认证

LDAP 支持 使用 LADP 与 Windows AD 的用户作为 JumpServer 登录用户

LDAPLDAPS

nameexplain
LDAP地址ldap://serverurl:389
绑定DNadministrator@jumpserver.org
密码**
用户OUou=jumpserver,dc=jumpserver,dc=org
用户过滤器(cn=%(user)s)
LADP属性映射{“username”: “cn”, “name”: “sn”, “email”: “mail”}
启动LDAP认证☑️
nameexplain
LDAP地址ldaps://serverurl:636
绑定DNadministrator@jumpserver.org
密码**
用户OUou=jumpserver,dc=jumpserver,dc=org
用户过滤器(cn=%(user)s)
LADP属性映射{“username”: “cn”, “name”: “sn”, “email”: “mail”}
启动LDAP认证☑️
CA 证书/opt/jumpserver/core/data/certs/ldap_ca.pem

部分 LDAP 如 ldap.google.com, 需要开启账号密码认证且 配置 stunnel 代理

选项说明

DN 一定要是完整的DN,不能跳过OU,可以使用其他工具查询
cn=admin,ou=aaa,dc=jumpserver,dc=org 或者用 user@domain.com 形式

用户OU 用户OU可以只写顶层OU,不写子OU
ou=aaa,ou=bbb,ou=ccc,dc=jumpserver,dc=org,可以只写 ou=ccc,dc=jumpserver,dc=org

用户过滤器 根据规则到 用户OU 里面去检索用户,支持 memberof
(uid=%(user)s)(sAMAccountName=%(user)s)

LADP属性映射 username name email 这三项不可修改删除
{"username": "uid", "name": "sn", "email": "mail"}{"username": "sAMAccountName", "name": "cn", "email": "mail"}

注意:用户过滤器用什么筛选,LDAP属性映射字段要与其一致,过滤器用 uid,LDAP属性映射也要用 uid

LDAP 的部分功能在 jumpserver/config/config.txt 进行设置

  1. # LDAP/AD settings
  2. # LDAP 搜索分页数量
  3. AUTH_LDAP_SEARCH_PAGED_SIZE=1000
  4. #
  5. # 定时同步用户
  6. # 启用 / 禁用
  7. AUTH_LDAP_SYNC_IS_PERIODIC=True
  8. # 同步间隔 (单位: 时) (优先)
  9. AUTH_LDAP_SYNC_INTERVAL=12
  10. # Crontab 表达式
  11. AUTH_LDAP_SYNC_CRONTAB=* 6 * * *
  12. #
  13. # LDAP 用户登录时仅允许在用户列表中的用户执行 LDAP Server 认证
  14. AUTH_LDAP_USER_LOGIN_ONLY_IN_USERS=False
  15. #
  16. # LDAP 认证时如果日志中出现以下信息将参数设置为 0 (详情参见:https://www.python-ldap.org/en/latest/faq.html)
  17. # In order to perform this operation a successful bind must be completed on the connection
  18. AUTH_LDAP_OPTIONS_OPT_REFERRALS=-1