配置 LDAP 模式设置 (BUI)
- 转到 "Configuration"(配置)> "Services"(服务)。
-
在 "Directory Services"(目录服务)下,选择 "LDAP"。
在 "Properties"(属性)选项卡上,转到页面的 "Schema"(模式)部分。
-
输入 "Base search DN"(基本搜索 DN)的值。
例如,输入:
dc=example,dc=com
此基本搜索 DN 自动在前面附加 ou=people(对于用户搜索)、ou=group(对于组搜索)和 ou=netgroup(对于网络组搜索)。如果这些值在您的环境中不起作用,则在该类型的搜索的模式定义中为搜索描述符设置其他值。如果在模式定义中为搜索描述符提供值,将忽略基本搜索 DN 的值。
-
选择递归或非递归搜索范围。
此选择适用于所有搜索。要为特定类型的搜索覆盖此选择,请在该类型的搜索的模式定义中为搜索描述符提供值。如果在模式定义中为搜索描述符提供值,将忽略搜索范围的值。
-
单击模式定义标题旁边的 "Edit"(编辑)。
此时将打开 "Edit LDAP Schema Definition"(编辑 LDAP 模式定义)对话框。该对话框具有三个选项卡:"Users"(用户)、"Groups"(组)和 "Netgroups"(网络组)。每个选项卡具有三个属性字段:"Search descriptor"(搜索描述符)、"Attribute mappings"(属性映射)和 "Object class mappings"(对象类映射)。
-
编辑搜索描述符字段。
用于用户搜索的默认搜索描述符为 ou=people,base-search-DN。用于组搜索的默认搜索描述符为 ou=group,base-search-DN。用于网络组搜索的默认搜索描述符为 ou=netgroup,base-search-DN。如果 LDAP 数据库没有名为 people、group 或 netgroup 的子树,则数据库搜索将失败,因为找不到对象。
编辑每个选项卡上的搜索描述符字段,以输入正确的子树来搜索用户、组和网络组。例如,在 "Users"(用户)选项卡上,可以为搜索描述符输入以下内容:
ou=employees,dc=example,dc=com
如果 LDAP 数据库没有用于用户和组的子树,则使用此搜索描述符字段重新输入基本搜索 DN,以防止自动在前面附加 ou=people 或 ou=group。例如,在 "Users"(用户)或 "Groups"(组)搜索描述符字段中输入以下内容:
dc=example,dc=com
必须在搜索描述符值中包括完整基本搜索 DN。此外,还包括您的范围选择。基本搜索 DN 和范围选择都将忽略,改为使用搜索描述符值。上一段落中的示例指定非递归搜索。要指定递归搜索,请将该示例更改如下:
dc=example,dc=com?sub
-
编辑属性映射字段。
用户数据类型的属性中显示了用于用户搜索的默认属性。组数据类型的属性中显示了用于组搜索的默认属性。
如果您的组织将此数据存储在不同属性中,则使用 "Attribute mappings"(属性映射)字段指定用于检索给定数据的属性。例如,要使用 employeename(而不是 uid)作为用户名的属性,则在 "Users"(用户)选项卡上的 "Attribute mappings"(属性映射)字段中输入 uid=employeename。
要为给定数据类型指定其他属性更改,请单击 "Attribute mappings"(属性映射)字段右侧的添加图标
。 -
编辑对象类映射字段。
用于用户搜索的默认对象类为 posixAccount。用于组搜索的默认对象类为 posixGroup。用于网络组搜索的默认对象类为 nisNetgroup。
如果您的环境使用不同的对象类,请使用 "Object class mappings"(对象类映射)字段指定要使用的对象类的名称。例如,要使用 unixaccount(而不是 posixAccount)作为用户对象类,请在 "Users"(用户)选项卡上的 "Object class mappings"(对象类映射)字段中输入 posixAccount=unixaccount。
要指定其他对象类更改,请单击 "Object class mappings"(对象类映射)字段右侧的添加图标
。 - 单击 "Edit LDAP Schema Definition"(编辑 LDAP 模式定义)对话框上的 "Save"(保存)。
- 单击 LDAP 页面顶部的 "APPLY"(应用)。