需求背景
在很多的应用项目中,客户会采用Windows域登录认证平台,要求 Smartbi 也能使用windows域账号密码进行验证,效果如下。
...
| 特性 | AD域 | LDAP协议 | LDAPS协议 |
|---|---|---|---|
| 性质 | 目录服务实现 | 访问目录服务的协议 | LDAP的安全版本 |
| 开发者 | 微软 | 开放标准(IETF) | 开放标准(IETF) |
| 加密 | 支持多种加密方式 | 默认不加密 | 强制SSL/TLS加密 |
| 端口 | 多端口(389,636,88,3268,3269,9389等) | 389 | 636 |
| 依赖关系 | 实现LDAP协议 | AD域使用LDAP作为通信协议 | 是LDAP的安全增强 |
使用说明
扩展包部署
...
| 注意 |
|---|
更新扩展包之前,请做好知识库以及扩展包的备份。 |
配置说明
1、获取ad.properties文件:ad.properties
...
4、配置完成后,点击右下角的"保存"按钮,根据提示再重启Smartbi 后,即可使用AD域用户的用户名和密码登录Smartbi。
注意事项
使用ldaps证书配置
当在ad.properties中配置了security_protocol=ssl,在config.jsp中配置了ldaps支持的登录验证类LDAPSAuthenication后,不设置相关证书会在登录时报错:
...
| 注意 |
|---|
查看信任库中的证书时需要输入密码,默认密码为:changeit |
同步AD用户到Smartbi
扩展包支持使用计划任务,使用全量的形式同步AD用户到Smartbi。
...
同步过来时,对于禁用的用户,只是状态禁用,不会放置在上面提到的禁用组中。上面的禁用组只是针对于Smartbi中有但是AD中没有的用户的。对于没有部门的用户,将会默认保存在DEPARTMENT根组下。
| 注意 |
|---|
同步前请务必备份好用户管理。 |
白名单配置
场景:在一些大型的集团,AD域只是管理集团员工,而集团的外包团队其实是没有AD域账号的,那对于这些外包人员登录Smartbi,就需要通过白名单的设置来避开AD域的验证。
...
