LDAP настройки

This page is a translated version of the page LDAP settings and the translation is 100% complete.

Other languages:

Внимание : Тази функция позволява на администраторите на проучване на LimeSurvey да импортират токени чрез LDAP. Ако имате нужда от LDAP удостоверяване, моля, вижте AuthLDAP plugin.

Общи

Трябва да активирате поддръжката на LDAP в config.php и да конфигурирате LDAP параметри в config/ldap.php, за да използвате тази функция.

За да можете да използвате LDAP, трябва да проверите дали LDAP модулът е инсталиран във вашия PHP. Моля, направете справка с документацията на модула PHP LDAP за това как да инсталирате това разширение.

Активиране на LDAP в config.php

$enableLdap: ако искате да използвате LDAP функции в LimeSurvey, трябва да зададете този параметър на true (по подразбиране е зададен на false):

'config'=>array(
 'debug'=>0,
 'debugsql'=>0,
 'enableLdap'=>true,
 )

Дефиниране на LDAP сървъри

Първо дефинирайте опциите за свързване на LDAP сървъра в "application/config/ldap.php". За всеки сървър са налични следните опции:

$serverId: Цяло число, което идентифицира този LDAP сървър. Използва се в дефинициите на заявки за свързване на сървър към конкретна заявка;
$ldap_server [ $serverId] [ 'сървър']: IP адресът или DNS името на LDAP сървъра. Ако използвате SSL защитени връзки (LDAPs или LDAP+Start-TLS), това име трябва да съответства на CN на сертификата на сървъра (или SubjectAlternativeName);
$ldap_server [ $serverId] [ 'protoversion']:' Може да бъде 'ldapv2' или 'ldapv3' в зависимост от протокола, поддържан от вашия сървър. 'ldapv3' е предпочитаният протокол. Въпреки това, ако искате да използвате криптирани връзки, имайте предвид, че LDAP се поддържа в режим 'ldapv2', докато Start-TLS е методът за криптиране за 'ldapv3';
$ldap_server [ $serverId] [ 'encrypt']: Дефинира използвания метод на криптиране. 'ldaps' се поддържа за 'ldav2' сървъри, 'start-tls' за 'ldapv3' сървъри. Ключовата дума 'none' се използва за LDAP комуникации с чист текст;
- Не забравяйте, че за 'ldaps' или 'start-tls' криптиране уеб сървърът трябва да може да проверява сертификата на LDAP сървъра. Следователно трябва да дефинирате своя сертифициращ орган във вашата openldap библиотека (обикновено това се прави във файла /etc/openldap/ldap.conf под linux).
$ldap_server [ $serverId] [ 'referrals']:' Това е булев параметър, който определя дали рефералите трябва да се следват или не (използвайте false за ActiveDirectory);
$ldap_server [ $serverId] [ 'encoding']: Това е незадължителен параметър, който дава кодирането, използвано от LDAP директорията за съхраняване на низове. Обикновено не е необходимо да настройвате този параметър, тъй като кодирането по подразбиране, 'utf-8', е стандартното кодиране за LDAP директории. Въпреки това, ако използвате Active Directory и имате проблеми с импортирането на ударени низове, тогава опитайте да настроите този параметър към кодирането, използвано във вашата област (например 'cp850' за Западна Европа). Можете да направите справка с падащия списък „Набор от знаци на файла“ в GUI Импортиране на токен от CSV файл, за да имате пълния списък с поддържани кодировки.

След това трябва да дефинирате какво удостоверяване е необходимо, за да получите достъп до директорията. Ако е разрешен "анонимен" достъп, НЕ задавайте следните два параметъра, в противен случай ги задайте съответно:

$ldap_server [ $serverId] [ 'binddn']: DN на 'LDAP' потребителя, който има право да чете директорията;
$ldap_server [ $serverId] [ 'bindpw']:' Парола за горния LDAP потребител.

Ако трябва да дефинирате други LDAP сървъри, добавете следния ред, за да увеличите serverID и да дефинирате нови параметри:

$serverId++.

Дефиниране на заявки в config/ldap.php

Внимание: когато се изисква ldap име на атрибут в един от тези параметри, използвайте имена само с малки букви: например displayname и НЕ displayName.

Моля, вижте файла config/ldap.php, тъй като съдържа примерна конфигурация.

Прости заявки

Нека започнем с прости заявки. Тези заявки филтрират само LDAP записи въз основа на техните собствени атрибути и местоположение. Обикновено те са достатъчни за запитване до ActiveDirectory.

$query_id: е идентификаторът на LDAP заявката;
$ldap_queries [ $query_id] [ 'ldapServerId']:' Свързва заявката към конкретен сървър;
$ldap_queries [ $query_id] [ 'name']:' Низ, описващ заявката. Той ще бъде показан в GUI;
$ldap_queries [ $query_id] [ 'userbase']: Основен DN за използване за потребителски търсения;
$ldap_queries [ $query_id] [ 'userfilter']:' Това е филтър, използван за избиране на записи на потенциални потребители. Трябва да бъде ограден в скоби;
$ldap_queries [ $query_id] [ 'userscope']: обхват на LDAP търсенето за потребители ('base', 'one' или 'sub');
$ldap_queries [ $query_id] [ 'firstname_attr']: Ldap атрибут, който ще бъде съпоставен с полето Firstname на записа на токена;
$ldap_queries [ $query_id] [ 'lastname_attr']: Ldap атрибут, който ще бъде съпоставен към полето Lastname на записа на маркера;
$ldap_queries [ $query_id] [ 'email_attr']: Ldap атрибут, който ще бъде съпоставен към полето за имейл адрес на записа на токена.

По желание можете да извлечете повече информация от директорията:

$ldap_queries [ $query_id] [ 'token_attr']: Ldap атрибут, който ще бъде съпоставен с кода на токена;
$ldap_queries [ $query_id] [ 'language']: Ldap атрибут, който ще бъде съпоставен с езиковия код на потребителя;
$ldap_queries [ $query_id] [ 'attr1']: Ldap атрибут, който ще бъде съпоставен към полето attribute_1;
$ldap_queries [ $query_id] [ 'attr2']: Ldap атрибут, който ще бъде съпоставен към полето attribute_2.

Комбинирани групови заявки с DN членове

Нека сега да видим как да дефинираме по-сложна заявка.

Следващите заявки използват първо LDAP търсене, което разглежда LDAP групи. LDAP група е LDAP запис, съдържащ препратки към записи на потребители под формата на:

потребителски идентификатори (например posixGroups do) ==> Вижте следващия раздел
Или потребителски DN (например groupofnames и groupouniquenames направете) ==> вижте по-долу

Тук имаме работа с групи, съдържащи потребителски DN:

define $query_id, $ldap_queries [ $query_id] [ 'ldapServerId'], $ldap_queries [ $query_id] [ 'име'], както е обяснено по-горе.

След това дефинирайте параметрите на груповия филтър:

$ldap_queries [ $query_id] [ 'groupbase']:' Основното DN, от което искате да започнете търсенето на групови записи;
$ldap_queries [ $query_id] [ 'groupfilter']:' LDAP филтърът, който ще избере потенциални групови записи;
$ldap_queries [ $query_id] [ 'groupscope']:' Обхватът на LDAP търсенето на групи ('on', 'base' или 'sub');
$ldap_queries [ $query_id] [ 'groupmemberattr']: Името на LDAP атрибута в записа на групата, който ще съдържа препратки към записи на потребители;
$ldap_queries [ $query_id] [ 'groupmemberisdn']:' ВЯРНО.

В този момент всичко е настроено така, че първото търсене в LDAP да намери потребители, съответстващи на избраните групи. Можете обаче да ограничите кои от тези „кандидати за потребители“ да бъдат избрани, като приложите друг филтър към тях. Това, разбира се, не е задължително:

$ldap_queries [ $query_id] [ 'userbase']:'' Базов DN за потребителско LDAP търсене (само кандидат за потребител, отговарящ на тази база) ще бъде избран;
$ldap_queries [ $query_id] [ 'userscope']: Ще бъде избран обхват за потребителско LDAP търсене (само кандидат за потребител, съответстващ на userbase+scope);
$ldap_queries [ $query_id] [ 'userfilter']:' Това е филтър, който се прилага към всеки запис на кандидат за потребител (върху неговите атрибути), за да добави друга селекция.

Комбинирани групови заявки с UID членове

Нека сега да видим как да дефинираме комбинирана групова заявка, когато членовете на групата са потребителски UID, а не потребителски DN.

Що се отнася до груповите заявки с членове на DN, тези заявки използват първо LDAP търсене, което търси записи в LDAP групи и получава техните членове. Тези стойности на членове след това се използват във филтър за потребителско търсене за търсене на съответните записи. Следователно друг параметър трябва да бъде конфигуриран, за да дефинира потребителския атрибут в записа на потребителя, който трябва да съответства на UID на члена, открит в групите.

Нека прегледаме необходимите параметри:

define $query_id, $ldap_queries [ $query_id] [ 'ldapServerId'], $ldap_queries [ $query_id] [ 'име'], както е обяснено по-горе

След това дефинирайте параметрите на груповия филтър:

$ldap_queries [ $query_id] [ 'groupbase']:' Основното DN, от което искате да започнете търсенето на групови записи;
$ldap_queries [ $query_id] [ 'groupfilter']:' LDAP филтърът, който ще избере потенциални групови записи;
$ldap_queries [ $query_id] [ 'groupscope']:' Обхватът на LDAP търсенето на групи ('on', 'base' или 'sub');
$ldap_queries [ $query_id] [ 'groupmemberattr']:' Името на LDAP атрибута в записа на групата, който ще съдържа препратки към записи на потребители;
$ldap_queries [ $query_id] [ 'groupmemberisdn']:' FALSE;
$ldap_queries [ $query_id] [ 'useridattr']:' име на потребителския атрибут, който трябва да съответства на UID, открит в членовете на групата.

В този момент всичко е настроено така, че първото LDAP търсене да намери UID на потребители, съответстващи на избрани групи, и филтърът за търсене на потребители ще бъде автоматично попълнен.

Можете обаче да ограничите кой от тези „кандидати за потребители“ да бъде избран, като попълните автоматичния потребителски филтър, изчислен от UID на членовете. Това, разбира се, не е задължително:

$ldap_queries [ $query_id] [ 'userbase']:'' Базов DN за потребителско LDAP търсене (само кандидат за потребител, отговарящ на тази база) ще бъде избран;
$ldap_queries [ $query_id] [ 'userscope']: Ще бъде избран обхват за потребителско LDAP търсене (само кандидат за потребител, съответстващ на userbase+scope);
$ldap_queries [ $query_id] [ 'userfilter']:' Това е филтър, който се прилага към всеки запис на кандидат за потребител (върху неговите атрибути), за да добави друга селекция.

Какво ще кажете за Active Directory?

Active Directory (AD) е регистър на Microsoft, който може да бъде заявен чрез използване на LDAP протокола.

След това е възможно да се използва съдържанието му за заявки за токени на LimeSurvey, но това изисква познания за това как е организиран AD.

Основната база на LDAP е dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1

==> Например, ако вашата компания притежава DNS домейна 'my-company.com' и вашият Windows домейн е 'employees', тогава вашата коренна база е dc=employees,dc=my-company,dc=com

* Потребителите и потребителските групи се съхраняват под cn=Users,dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1 (моля, обърнете внимание, че това не е ou=users);

Групи на Active Directory:
- Групи обектите съдържат DN на членове в техния атрибут 'member';
- Груповите членства също се съхраняват в атрибута memberOf на всеки потребителски запис. Този атрибут съдържа DN на групи, към които принадлежи потребителят;
- някои групи са в CN=Builtin,dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1:
  - Например: cn=Administrator,CN =Builtin,dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1;

В някои случаи не е толкова лесно да се направи запитване към активна директория, така че ето примерна конфигурация за получаване на информация за активна директория:

//Връзка към сървъра на активната директория:
$serverId=0;
$ldap_server[$serverId]['server'] = "10.10.10.10";
$ldap_server[$serverId] ['port'] = "389";
$ldap_server[$serverId]['protoversion'] = "ldapv2";
$ldap_server[$serverId]['encrypt'] = "няма"; // Повечето AD LDAP сървъри няма да имат криптиране, зададено по подразбиране
$ldap_server[$serverId]['referrals'] = false;
$ldap_server[$serverId]['binddn'] = "domain\\user ";
$ldap_server[$serverId]['bindpw'] = "потребителска парола";
//$ldap_server[$serverId]['binddn'] = "CN=потребител,OU=потребителска_група,DC=xxx ,DC=yyy"; този няма да работи с активна директория, ето защо трябва да използвате "domain\\user"
//Ето примерна заявка за получаване на всички активни потребители на активна директория:
$query_id=0 ;
$ldap_queries[$query_id]['ldapServerId'] = 0;
$ldap_queries[$query_id]['name'] = 'Персонал с активиран акаунт';
$ldap_queries[$query_id] ['userbase'] = 'OU=USER_GROUP,DC=xxx,DC=yyy';
$ldap_queries[$query_id]['userfilter'] = '(&(objectClass=user)(!(userAccountControl=514) ))';
//(!(userAccountControl=514)) не можете да поискате от активната директория активен потребител, но можете да поискате неактивен потребител
$ldap_queries[$query_id][ 'userscope'] = 'sub';
$ldap_queries[$query_id]['firstname_attr'] = 'givenname';
$ldap_queries[$query_id]['lastname_attr'] = 'sn';
 $ldap_queries[$query_id]['email_attr'] = 'поща';
$ldap_queries[$query_id]['token_attr'] = ''; // Оставете празно за автоматично генериране на токени от phpsv
$ldap_queries[$query_id]['language'] = '';
$ldap_queries[$query_id]['attr1'] = '';
$ ldap_queries[$query_id]['attr2'] = '';
//Груповото филтриране не беше възможно в активната директория, трябва да добавите атрибута memberOf на потребител. Ето примерна заявка за получаване на всички активни потребители, които са членове на групата "samplegroup" в активната директория:
$query_id++;
$ldap_queries[$query_id]['ldapServerId'] = 0;
$ ldap_queries[$query_id]['name'] = 'Всички членове на примерната група';
$ldap_queries[$query_id]['userbase'] = 'OU=USER_GROUP,DC=xxx,DC=yyy';
 $ldap_queries[$query_id]['userfilter'] = '(&(objectClass=user)(memberOf=CN=samplegroup,OU=Глобална група,OU=USER_GROUP,DC=xxx,DC=yyy)(!(userAccountControl=514 )))';
$ldap_queries[$query_id]['userscope'] = 'sub';
$ldap_queries[$query_id]['firstname_attr'] = 'givenname';
$ldap_queries[$ query_id]['lastname_attr'] = 'sn';
$ldap_queries[$query_id]['email_attr'] = 'поща';
$ldap_queries[$query_id]['token_attr'] = ''; // Оставете празно за автоматично генериране на токени от phpsv
$ldap_queries[$query_id]['language'] = '';
$ldap_queries[$query_id]['attr1'] = '';
$ ldap_queries[$query_id]['attr2'] = '';

Друг пример за потребителска заявка:

 
$ldap_queries[$query_id]['userfilter'] = '(&('''objectCategory=Person''')(objectClass='''user''')(!('''userAccountControl=514' '')))'; // AD не разпознава активираните акаунти по нормалния начин, така че вместо това проверяваме потребителите да не са деактивирани

Както е предложено в конфигурационния файл, обмислете добавянето на (!(email=*)) към вашите потребителски филтри, за да игнорирате потребители без имейл адрес.

Примерна групова заявка:

$ldap_queries[$query_id]['groupfilter'] = '(&(objectClass='''group''')(cn=Администратори на домейн))'; // AD не използва стандартното име на атрибут за групи, така че вместо това използвайте този пример.

Намерете повече информация за LDAP структурата на Active Directory на Active Directory Architecture и библиотека/cc223122.aspx Техническа спецификация на Active Directory.