查看源

一.需求背景

在很多的应用项目中，客户会采用Windows域登录认证平台，要求 Smartbi 也能使用windows域账号密码进行验证，效果如下。

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > AD域登录验证演示.gif

用户组的信息在登录的时候进行同步，根据用户的组信息再自动创建组，这个组是AD域组的信息（另外配置的AD域用户也会自动同步过来）

特性	AD域	LDAP协议	LDAPS协议
性质	目录服务实现	访问目录服务的协议	LDAP的安全版本
开发者	微软	开放标准（IETF）	开放标准（IETF）
加密	支持多种加密方式	默认不加密	强制SSL/TLS加密
端口	多端口（389，636，88，3268，3269，9389等）	389	636
依赖关系	实现LDAP协议	AD域使用LDAP作为通信协议	是LDAP的安全增强

二. 使用说明

2.1. 扩展包部署

扩展包：Smartbi_Special_ADAuth

详细说明请参考Wiki链接：扩展包部署

更新扩展包之前，请做好知识库以及扩展包的备份。

2.2. 配置说明

1、获取ad.properties文件：ad.properties

2、打开ad.properties文件，修改参数。

如果包含中文，则需要将ad.properties重命名为ad_cn.properties，再使用<JDK>\bin\native2ascii.exe ad_cn.properties ad.properties转换中文字符后使用。

配置文件中的参数如下：

参数名

含义

原参数值

修改

provider_url

配置AD域服务器的地址与端口

ldap\://ADServer\:389

值说明

ADServer为Window域服务器IP地址或服务器名
端口可以是389，636，3268，3269
- 389：可以会获取到组织相关的属性，同时baseName属性不能为空。
- 3268：会获取不到组织相关的属性。

例如

LDAP

provider_url = ldap\://10.10.201.225\:389

LDAPS

provider_url = ldaps\://10.10.201.225\:636

参考

服务	协议	默认端口	用途
LDAP	TCP	389	普通目录查询
LDAPS	TCP	636	加密目录查询
Kerberos	TCP/UDP	88	身份认证
DNS	TCP/UDP	53	域名解析
SMB	TCP	445	文件共享、域登录
Global Catalog (LDAP)	TCP	3268	跨域查询
Global Catalog (LDAPS)	TCP	3269	加密跨域查询
AD Web Services	TCP	9389	PowerShell管理AD

baseName

AD域域名

值说明

若provider_url配置的端口为389，此处不能为空，值为域名
若provider_url配置的端口是3628，此处可为空

例如

域名为ADLogin.com，此处值为 DC=ADLogin,DC=com

baseName = DC=ADLogin,DC=com

注意

可以使用Softerra LDAP Browser之类的工具查看对应的域名

login_user

可以登录到windows域服务器的用户，用于获取用户信息

username

值说明

域用户的用户名

例如

login_user = administrator

login_password

可以登录windows域服务器的用户的密码，用于获取用户信息

password

值说明

域用户的密码

例如

login_password = Smart2025

注意

请写明文密码，产品会自动加密回写

principal_prefix

配置用户名前缀

MyDomain\\

值说明

通常是域的名称+\\ ，这里域的名称是域名的第一个值

例如

域名为ADLogin.com，此处值为 ADLogin\\

principal_prefix = ADLogin\\

注意

此配置项与principal_suffix只能二选一，不可同时配置，一般情况下只配置principal_prefix即可

principal_suffix

配置用户名后缀

值说明

通常是@+域的名称，

例如

域名为ADLogin.com，则此处值为 @ADLogin.com

principal_suffix = @ADLogin.com

注意

此配置项与principal_prefix只能二选一，不可同时配置，若是配置principal_prefix并排除其他问题后，可考虑改为配置此项，配置此项时，principal_prefix需为空

filterPrefix

限制AD域查询范围的前缀

(&(objectCategory\=Person)(sAMAccountName\=

不修改

filterSuffix

限制AD域查询范围的后缀

))

不修改

initial_context_factory

JAVA通过该工厂类

com.sun.jndi.ldap.LdapCtxFactory

不修改

security_protocol

当使用的是LDAPS时，需要设置

注意：provider_url设置为ldaps协议头和端口

无值

值说明

填写LDAPS对应使用的加密通信方式，当前只支持 SSL。

同时provider_url设置为LDAPS协议头和端口。

例如

security_protocol= ssl

注意

无值时，等同于不使用 ssl 加密通信方式

isDeleteUser

在用户登录时，尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时，是否要删除该用户

无值

值说明

true：在用户登录时，尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时，会提示登录失败，并删除该用户
false：在用户登录时，尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时，会提示登录失败，会把该用户迁移到moveDisabledGroup配置的禁用组中

注意

无值时，等同于为 true

moveDisabledGroup

用于存放AD域没有而Smartbi中有的用户

注意：当isDeleteUser=false时，这个配置项才会被用上

无值

值说明

填写的是对应的用户组的ID

例如

moveDisabledGroup = DEPARTMENT

注意

无值时，等同于为 DEPARTMENT

white_show_setting

是否在【系统选项】中显示【AD账号白名单】选项

无值

值说明

true：在【系统选项】中显示【AD账号白名单】选项
false：在【系统选项】中不显示【AD账号白名单】选项

注意

无值时，等同于为 true

admin_default_login

admin账号是否可以绕过AD域验证而直接走Smartbi的自身的验证

注意：默认admin不进行AD域验证

无值

值说明

true：admin账号可以绕过AD域验证而直接走Smartbi的自身的验证
false：非白名单情况下，admin账号不允许通过账号密码方式登录到Smartbi

例如

admin_default_login = true

注意

无值时，等同于为 true

create_user_ad_check

Smartbi中创建用户时，是否在点击“保存”时，使用创建用户的“名称”（即用户名）到AD域中进行校验

无值

值说明

true：创建用户时进行AD检查。如果这个用户名在AD域中存在，则会创建成功，否则会创建失败并提示“非AD域下用户无法自行创建”。
false：创建用户时不进行AD检查

例如

create_user_ad_check = false

注意

无值时，等同于为 false

default_create_user

AD域用户登录时，是否同步该用户到Smartbi中

注意：默认会同步该用户到Smartbi中

无值

值说明

true：执行产品默认逻辑，会同步用户
false：AD域用户登录时，不同步该用户到Smartbi中。如果Smartbi中没有这个用户，则抛出账号密码错误异常。

例如

default_create_user= true

注意

无值时，等同于为 true

default_syn_group

AD域用户登录时，是否同步该用户的组到Smartbi中

注意：默认会同步该用户的组到Smartbi中

无值

值说明

true：执行产品默认逻辑，会同步用户的组
false：AD域用户登录时，不同步该用户的组到Smartbi中

例如

default_syn_group= true

注意

无值时，等同于为 true

3、启动Smartbi 系统后进入http://localhost:18080/smartbi/vision/config.jsp 配置界面

3.1 配置为ad.properties存放在服务器上的位置

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > image2025-4-3_17-32-11.png

3.2 修改"用户管理"配置段中的"加密类型"为CLASS，"登录验证类"请按需填写，具体如下图所示。

LDAP：smartbi.usermanager.auth.impl.ADAuthentication
LDAPS：smartbi.ext.adauth.auth.LDAPSAuthenication

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > image2025-4-3_17-59-36.png

4、配置完成后，点击右下角的"保存"按钮，根据提示再重启Smartbi 后，即可使用AD域用户的用户名和密码登录Smartbi。

三.注意事项

1.1. 使用ldaps证书配置

当在ad.properties中配置了security_protocol=ssl、在config.jsp中配置了ldaps支持的登录验证类LDAPSAuthenication后，不设置相关证书虎在登录时报错：

不设置证书将会在登录时报错：
如果想正常使用ldaps，还需要进行证书配置，有两种配置方式，如下：

1.1.1. 方式一：获取指定域名的信任库并放置到jdk信任库所在目录下（不推荐）

PS.这种方式没有验证过，因为在获取证书时会存在超时，理论可行

以windows环境为例，这里使用一个.java文件来获取信任库文件，参考附件：

将InstallCert.java下载到任意目录中，javac编译：

然后运行命令java InstallCert + 域名

这个域名就是ad.properties中配置的baseName的普通写法，如baseName=DC=baidu,DC=com则此命令写作java InstallCert baidu.com

然后输入1，然后回车：

然后可以看到当前目录下多了一个文件jssecacerts，将这个文件放置到目录$JAVA_HOME/jre/lib/security下，一般是放置到Smartbi/jdk/jre/ilb/security目录中，然后重启服务器即可。

1.1.2. 方式二：在已经获取到证书文件（.cer或.crt后缀的文件）后，通过命令行将证书导入到Java信任库（推荐）

自行获取到目标服务器的证书文件

先备份Java的信任库cacerts，信任库位置：

$JAVA_HOME/jre/lib/security/cacerts

一般是

Smartbi/jdk/jre/ilb/security/cacerts

然后在上述证书所在的目录下进入cmd，使用keytool命令导入证书到Java的信任库中：

keytool -import -alias baseName -file server.crt -keystore $JAVA_HOME/jre/lib/security/cacerts

如：

keytool -import -alias 域名 -file 上述证书文件（包含后缀） -keystore $JAVA_HOME/jre/lib/security/cacerts

即：

keytool -import -alias baidu.com -file XXX.cer -keystore Smartbi/jdk/jre/lib/security/cacerts

即可实现导入证书，注意名字只能使用域名，不可自定义，否则在登录时会报会报如下错误：

至此证书导入Java信任库完成，即可正常登录。

附：

用这个命令查看已经导入到Java信任库中的证书，看看名字有没有改对

keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts

移除证书，通过指定别名来移除Java信任库中的证书

Keytool -delete -alias mycert -keystore $JAVA_HOME/jre/lib/security/cacerts

查看信任库中的证书时需要输入密码，默认密码为：changeit

若是配置后发现不能正常使用，可以通过下面方法来获取错误信息，以便定位到问题原因。

1.下载 testldap.jsp 文件，并根据实际情况进行下面修改：

参数名	含义	原参数值	修改
provider_url	配置AD域服务器的地址与端口	ldap\://ADServer\:3268	修改ADServer和3268为windows域服务器名及端口，ADServer为Window域服务器IP地址或服务器名，端口可以是389或3628 注意：当URL中使用的端口号为3268的时候，会获取不到组织相关的属性，若需要获取到这些属性，需要将端口设置为389端口，同时，389端口对应的配置文件baseName属性不能为空。
login_user	配置可以登录到windows域服务器的用户，用于获取用户信息	username	域用户的用户名
login_password	可以登录windows域服务器的用户的密码，用于获取用户信息	password	与login_user用户对应的密码
principal_prefix	配置用户名前缀	MyDomain\\	通常是域的名称+\\ ，这里域的名称是域名的第一个值，例如域名为ADLogin.com，此处值为ADLogin\\
principal_suffix	配置用户名后缀		通常是@+域的名称，例如域名为ADLogin.com，则此处值为@ADLogin.com 注意：此配置项与principal_prefix只能二选一，不可同时配置，一般情况下只配置principal_prefix即可，但若是配置principal_prefix并排除其他问题后，可考虑改为配置此项，配置此项时，principal_prefix需为空
baseName	AD域域名		若provider_url配置的端口是3628，此处可为空，若配置的端口为389，此处不能为空，值为域名，例如域名为ADLogin.com，则此处的值为DC=ADLogin,DC=com，可以使用Softerra LDAP Browser之类的工具查看
filterPrefix	限制AD域查询范围的前缀	(&(objectCategory\=Person)(sAMAccountName\=	不修改
filterSuffix	限制AD域查询范围的后缀	))	不修改
initial_context_factory	JAVA通过该工厂类	com.sun.jndi.ldap.LdapCtxFactory	不修改
searchuser	需要查询的用户	administrator	根据实际情况修改

其中域名的获取方法可见下图：

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > image2016-9-1 14:11:55.png

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > image2016-9-1 14:14:49.png

2.将修改后的testldap.jsp文件放到smartbi.war/vision/目录中，并重启服务器；

3.启动服务器后访问附件文件，访问地址为：http://ip:port/smartbi/vision/testldap.jsp（这里ip和port改成访问smartbi时的ip和端口），

正常的访问截图如下：

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > image2016-9-1 14:15:4.png

异常访问的截图：

Smartbi Insight V11帮助中心 > AD域（LDAP/LDAPS）登录验证 > image2016-9-1 14:16:5.png

4.最后根据异常页面中的信息来判断哪里设置有误。