...
| 参数名 | 含义 | 原参数值 | 修改 | ||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
provider_url
| 配置AD域服务器的地址与端口 | ldap\://ADServer\:389 | 值说明
例如
provider_url = ldap\://10.10.201.225\:389
provider_url = ldaps\://10.10.201.225\:636
参考
| ||||||||||||||||||||||||||||||||||||||||||||
baseName
| AD域域名 | 值说明
例如 域名为ADLogin.com,此处值为 DC\=ADLogin,DC\=com baseName = DC\=ADLogin,DC\=com 域名为hr.corp.example.com,此处值为 DC\=hr,DC\=corp,DC\=example,DC\=com baseName = DC\=hr,DC\=corp,DC\=example,DC\=com 注意 可以使用 Softerra LDAP Browser 之类的工具查看对应的域名 | |||||||||||||||||||||||||||||||||||||||||||||
| login_user | 可以登录到windows域服务器的用户,用于获取用户信息 | username | 值说明 域用户的用户名 例如 login_user = administrator | ||||||||||||||||||||||||||||||||||||||||||||
| login_password | 可以登录windows域服务器的用户的密码,用于获取用户信息 | password | 值说明 域用户的密码 例如 login_password = Smart2025 注意 请写明文密码,产品会自动加密回写 | ||||||||||||||||||||||||||||||||||||||||||||
| principal_prefix | 配置用户名前缀 | MyDomain\\ | 值说明 通常是域的名称+\\ ,这里域的名称是域名的第一个值 例如 域名为 smartbi.local,此处值为 smartbi\\ principal_prefix = smartbi\\
注意 此配置项与principal_suffix只能二选一,不可同时配置,一般情况下只配置principal_prefix即可 | ||||||||||||||||||||||||||||||||||||||||||||
| principal_suffix | 配置用户名后缀 | 值说明 通常是@+域的名称, 例如 域名为 smartbi.local,则此处值为 @smartbi.local principal_suffix = @smartbi.local
注意 此配置项与principal_prefix只能二选一,不可同时配置,若是配置principal_prefix并排除其他问题后,可考虑改为配置此项,配置此项时,principal_prefix需为空 | |||||||||||||||||||||||||||||||||||||||||||||
| filterPrefix | 限制AD域查询范围的前缀 | (&(objectCategory\=Person)(sAMAccountName\= | 不需要修改 | ||||||||||||||||||||||||||||||||||||||||||||
| filterSuffix | 限制AD域查询范围的后缀 | )) | 不需要修改 | ||||||||||||||||||||||||||||||||||||||||||||
| initial_context_factory | JAVA通过该工厂类 | com.sun.jndi.ldap.LdapCtxFactory | 不需要修改 | ||||||||||||||||||||||||||||||||||||||||||||
security_protocol | 当使用的是LDAPS时,需要设置 | 无值 | 值说明 填写LDAPS对应使用的加密通信方式,当前只支持 SSL。 同时provider_url设置为LDAPS协议头和端口,请参考 provider_url 例如 security_protocol = ssl 注意 无值时,等同于 不使用 ssl 加密通信方式 | ||||||||||||||||||||||||||||||||||||||||||||
| isDeleteUser | 在用户登录时,尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时,是否要删除该用户 | 无值 | 值说明
注意 无值时,等同于为 true | ||||||||||||||||||||||||||||||||||||||||||||
moveDisabledGroup
| 用于存放AD域没有而Smartbi中有的用户 注意:当isDeleteUser=false时,这个配置项才会被用上 | 无值 | 值说明 填写的是对应的用户组的ID 例如 moveDisabledGroup = DEPARTMENT 注意 无值时,等同于为 DEPARTMENT | ||||||||||||||||||||||||||||||||||||||||||||
| white_show_setting | 是否在【系统选项】中显示【AD账号白名单】选项 | 无值 | |||||||||||||||||||||||||||||||||||||||||||||
| admin_default_login | admin账号是否可以绕过AD域验证而直接走Smartbi的自身的验证 注意:默认admin不进行AD域验证 | 无值 | 值说明
例如 admin_default_login = true 注意 无值时,等同于为 true | ||||||||||||||||||||||||||||||||||||||||||||
| create_user_ad_check | Smartbi中创建用户时,是否在点击“保存”时,使用创建用户的“名称”(即用户名)到AD域中进行校验 | 无值 | 值说明
例如 create_user_ad_check = false 注意 无值时,等同于为 false | ||||||||||||||||||||||||||||||||||||||||||||
| default_create_user | AD域用户登录时,是否同步该用户到Smartbi中 注意:默认会同步该用户到Smartbi中 | 无值 | 值说明
例如 default_create_user= true 注意 无值时,等同于为 true 场景 | ||||||||||||||||||||||||||||||||||||||||||||
| default_syn_group | AD域用户登录时,是否同步该用户的组到Smartbi中 注意:默认会同步该用户的组到Smartbi中 | 无值 | 值说明
例如 default_syn_group= true 注意 无值时,等同于为 true |
...
3.1、配置为ad.properties存放在服务器上的位置
3.2、修改"用户管理"配置段中的"加密类型"为CLASS,"登录验证类"请配置为”smartbi.ext.adauth.auth.LDAPSAuthenication“,具体如下图所示。
4、配置完成后,点击右下角的"保存"按钮,根据提示再重启Smartbi 后,即可使用AD域用户的用户名和密码登录Smartbi。
...
即可实现导入证书,注意名字只能使用域名,不可自定义,否则在登录时会报会报如下错误:
至此证书导入Java信任库完成,即可正常登录。
...
在任务脚本中粘贴上述内容,脚本的参数参考注释。保存,然后测试运行。
同步过来时,对于禁用的用户,只是状态禁用,不会放置在上面提到的禁用组中。上面的禁用组只是针对于Smartbi中有但是AD中没有的用户的。对于没有部门的用户,将会默认保存在DEPARTMENT根组下。
...
入口:在【运维设置】- 【系统选项】 - 【用户管理】中,会增加【AD账号白名单】选项,可以把不需要AD域验证的 ”用户“,添加到 ”AD账号白名单“ 中
场景二
场景:客户安全要求很高,不允许任何人可以通过白名单的方式登录(必须要走AD域验证)。当AD域宕机后,要保证Smartbi可以继续使用,就可以临时用SQL插入用户的方式,当AD域恢复后,直接用SQL把t_ext_ad_whiteinfo表的数据清空即可。
...
其中域名的获取方法可见下图:
异常访问的截图:
4、最后根据异常页面中的信息来判断哪里设置有误。
...
