介绍
Pleasanter 可以导入 AD 用户信息以及对 AD 用户进行身份验证。使用AD用户登录时,会自动创建一个Presanter用户,但是在用户众多的环境中,很难让所有人都登录。在这种情况下,请使用 AD 同步功能将用户带入 Pleasanter。您可以通过将用户导入 Pleasantor 来预先授予访问权限,或者使用用户字段来分配受让人。
用户同步
在同步用户的时候,如果AD用户的数量很大,有些情况下需要缩小目标用户的范围。 Pleasant 允许您以两种方式过滤与您同步的用户。两者都在下面的 Authentication.json 中设置。
由 OU 限制
如果要缩小范围的用户按 OU 划分,请在 LdapSearchRoot 中指定将作为搜索起点的 OU。如果OU不分割,则不能使用此方法。
"LdapSearchRoot": "LDAP://implem.local/ou=abc,dc=implem,dc=local"
按用户属性值过滤
如果用户的属性有缩小范围的规则,在LdapSyncPatterns中指定DirectorySearcher的过滤字符串。多个过滤器字符串可以写为 LdapSyncPatterns 中的 JSON 数组。下面的示例使用默认设置,将搜索 ObjectCategory 属性为 User 且 ObjectClass 属性为 Person 的对象。
"LdapSyncPatterns": [
"(&(ObjectCategory=User)(ObjectClass=Person))"
]
过滤字符串测试
DirectorySearcher 的过滤器字符串可以使用下面的 PowerShell 进行测试。下面的示例搜索 CN 以 Yamada 开头的对象。通过对 CN 属性使用通配符,您可以执行前缀匹配搜索,但是有些项目(例如 distinctName)无法进行前缀匹配。
# 資格情報取得(資格情報を入力するダイアログが開きます)
$Credential = Get-Credential
# 検索用オブジェクトDirectorySearcher作成
$Searcher = New-Object -TypeName System.DirectoryServices.DirectorySearcher
# フィルタ文字列のセット(この部分を変更してトライ&エラーを行う)
$Searcher.Filter = "(&(ObjectCategory=User)(ObjectClass=Person)(CN=山田*))"
# 検索対象のドメインを指定
$DomainDN = "LDAP://implem.local/DC=implem,DC=local"
# 「DirectoryEntry」オブジェクトを作成し、ドメイン、資格情報を追加
$Domain = New-Object `
-TypeName System.DirectoryServices.DirectoryEntry `
-ArgumentList $DomainDN,
$($Credential.UserName),
$($Credential.GetNetworkCredential().password)
# 検索情報を追加
$Searcher.SearchRoot = $Domain
# フィルタ文字列にヒットしたオブジェクトを列挙
foreach($list in $Searcher.FindAll()){
$list.properties["distinguishedName"]
}
检查属性名称
使用作为管理工具安装在域控制器上的 ADSI Edit,您可以检查 AD 属性的名称及其存储的值。它可以与 PowerShell 脚本结合使用,以帮助测试过滤器字符串。
原创声明:本文系作者授权爱码网发表,未经许可,不得转载;
原文地址:https://www.likecs.com/show-308622239.html