Smartbi Insight V11帮助中心
页面树结构
转至元数据结尾
转至元数据起始

正在查看旧版本。 查看 当前版本.

与当前比较 查看页面历史

« 前一个 版本 16 下一个 »

1.需求背景

在很多的应用项目中,客户会采用Windows域登录认证平台,要求 Smartbi 也能使用windows域账号密码进行验证,效果如下。

用户组的信息在登录的时候进行同步,根据用户的组信息再自动创建组,这个组是AD域组的信息(另外配置的AD域用户也会自动同步过来)

2. 使用说明

2.1. 扩展包部署

扩展包:Smartbi_Special_ADAuth

详细说明请参考Wiki链接:扩展包部署

更新扩展包之前,请做好知识库以及扩展包的备份。


2.2. 配置说明

1)获取ad.properties文件:

       从这里点击下载该文件<ad.properties>

2)打开ad.properties文件,修改参数。

如果包含中文,则需要将ad.properties重命名为ad_cn.properties,再使用<JDK>\bin\native2ascii.exe ad_cn.properties ad.properties转换中文字符后使用。

配置文件中的参数如下:

参数名含义原参数值修改
provider_url配置AD域服务器的地址与端口ldap\://ADServer\:3268

修改ADServer和3268为windows域服务器名及端口,ADServer为Window域服务器IP地址或服务器名,端口可以是389或3628

注意:当URL中使用的端口号为3268的时候,会获取不到组织相关的属性,若需要获取到这些属性,需要将端口设置为389端口,同时,389端口对应的配置文件baseName属性不能为空。

login_user可以登录到windows域服务器的用户,用于获取用户信息username

值说明:

域用户的用户名

login_password可以登录windows域服务器的用户的密码,用于获取用户信息password

值说明:

域用户的密码

principal_prefix配置用户名前缀MyDomain\\

值说明:

通常是域的名称+\\ ,这里域的名称是域名的第一个值

例如:

域名为ADLogin.com,此处值为 ADLogin\\

principal_prefix = ADLogin\\

注意:

此配置项与principal_suffix只能二选一,不可同时配置,一般情况下只配置principal_prefix即可

principal_suffix配置用户名后缀

值说明:

通常是@+域的名称,

例如:

域名为ADLogin.com,则此处值为 @ADLogin.com

principal_suffix = @ADLogin.com

注意:

此配置项与principal_prefix只能二选一,不可同时配置,若是配置principal_prefix并排除其他问题后,可考虑改为配置此项,配置此项时,principal_prefix需为空

baseName

AD域域名


provider_url配置的端口是3628,此处可为空,若配置的端口为389,此处不能为空,值为域名,例如域名为ADLogin.com,则此处的值为DC=ADLogin,DC=com,可以使用Softerra LDAP Browser之类的工具查看
filterPrefix限制AD域查询范围的前缀(&(objectCategory\=Person)(sAMAccountName\=不修改
filterSuffix限制AD域查询范围的后缀))不修改
initial_context_factoryJAVA通过该工厂类com.sun.jndi.ldap.LdapCtxFactory不修改
security_protocol

当使用的是LDAPS时,需要设置

注意:provider_url设置为ldaps协议头和端口

无值

值说明:

填写LDAPS对应使用的加密通信方式,当前只支持 SSL。

同时provider_url设置为LDAPS协议头和端口。

例如:

security_protocol= ssl

注意:

无值时,等同于 不使用 ssl 加密通信方式

isDeleteUser

在用户登录时,尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时,是否要删除该用户

无值

值说明:

  • true:在用户登录时,尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时,会提示登录失败,并删除该用户
  • false:在用户登录时,尝试登录一个AD域没有而Smartbi中有且不在白名单中的用户时,会提示登录失败,会把该用户迁移到moveDisabledGroup配置的禁用组中

注意:

无值时,等同于为 true

moveDisabledGroup

用于存放AD域没有而Smartbi中有的用户

注意:当isDeleteUser=false时,这个配置项才会被用上

无值

值说明:

填写的是对应的用户组的ID

例如:

moveDisabledGroup = DEPARTMENT

注意:

无值时,等同于为 DEPARTMENT

white_show_setting是否在【系统选项】中显示【AD账号白名单】选项无值

值说明:

  • true:在【系统选项】中显示【AD账号白名单】选项
  • false:在【系统选项】中不显示【AD账号白名单】选项

注意:

无值时,等同于为 true

admin_default_login

admin账号是否可以绕过AD域验证而直接走Smartbi的自身的验证

注意:默认admin不进行AD域验证

无值

值说明:

  • true:admin账号可以绕过AD域验证而直接走Smartbi的自身的验证
  • false:非白名单情况下,admin账号不允许通过账号密码方式登录到Smartbi

例如:

admin_default_login = true

注意:

无值时,等同于为 true

create_user_ad_checkSmartbi中创建用户时,是否在点击“保存”时,使用创建用户的“名称”(即用户名)到AD域中进行校验无值

值说明:

  • true:创建用户时进行AD检查。如果这个用户名在AD域中存在,则会创建成功,否则会创建失败并提示“非AD域下用户无法自行创建”。
  • false:创建用户时不进行AD检查

例如:

create_user_ad_check = false

注意:

无值时,等同于为 false

default_create_user

AD域用户登录时,是否同步该用户到Smartbi中

注意:默认会同步该用户到Smartbi中

无值

值说明:

  • true:执行产品默认逻辑,会同步用户
  • false:AD域用户登录时,不同步该用户到Smartbi中。如果Smartbi中没有这个用户,则抛出账号密码错误异常。

例如:

default_create_user= true

注意:

无值时,等同于为 true

default_syn_group

AD域用户登录时,是否同步该用户的组到Smartbi中

注意:默认会同步该用户的组到Smartbi中

无值

值说明:

  • true:执行产品默认逻辑,会同步用户的组
  • false:AD域用户登录时,不同步该用户的组到Smartbi中

例如:

default_syn_group= true

注意:

无值时,等同于为 true

       3、启动Smartbi 系统后进入http://localhost:18080/smartbi/vision/config.jsp 配置界面,

       3.1 配置为ad.properties存放在服务器上的位置

       

       3.2 修改"用户管理"配置段中的"加密类型"为CLASS,"登录验证类"为 smartbi.usermanager.auth.impl.ADAuthentication,具体如下图所示。ADAuthentication类的源码请参考 ADAuthentication.java
            

        4 、配置完成后,点击右下角的"保存"按钮,根据提示再重启Smartbi 后,即可使用AD域用户的用户名和密码登录Smartbi。

3.注意事项

       若是配置后发现不能正常使用,可以通过下面方法来获取错误信息,以便定位到问题原因。

       1.下载testldap.jsp文件,并根据实际情况进行下面修改:

参数名含义原参数值修改
 provider_url配置AD域服务器的地址与端口ldap\://ADServer\:3268

修改ADServer和3268为windows域服务器名及端口,ADServer为Window域服务器IP地址或服务器名,端口可以是389或3628

注意:当URL中使用的端口号为3268的时候,会获取不到组织相关的属性,若需要获取到这些属性,需要将端口设置为389端口,同时,389端口对应的配置文件baseName属性不能为空。

login_user配置可以登录到windows域服务器的用户,用于获取用户信息username域用户的用户名
login_password可以登录windows域服务器的用户的密码,用于获取用户信息password与login_user用户对应的密码
principal_prefix配置用户名前缀MyDomain\\通常是域的名称+\\ ,这里域的名称是域名的第一个值,例如域名为ADLogin.com,此处值为ADLogin\\
principal_suffix配置用户名后缀

通常是@+域的名称,例如域名为ADLogin.com,则此处值为@ADLogin.com

注意:此配置项与principal_prefix只能二选一,不可同时配置,一般情况下只配置principal_prefix即可,但若是配置principal_prefix并排除其他问题后,可考虑改为配置此项,配置此项时,principal_prefix需为空

baseName

AD域域名


若provider_url配置的端口是3628,此处可为空,若配置的端口为389,此处不能为空,值为域名,例如域名为ADLogin.com,则此处的值为DC=ADLogin,DC=com,可以使用Softerra LDAP Browser之类的工具查看
filterPrefix限制AD域查询范围的前缀(&(objectCategory\=Person)(sAMAccountName\=不修改
filterSuffix限制AD域查询范围的后缀))不修改
initial_context_factoryJAVA通过该工厂类com.sun.jndi.ldap.LdapCtxFactory不修改
searchuser需要查询的用户administrator根据实际情况修改
其中域名的获取方法可见下图:
        
        
       2.将修改后的testldap.jsp文件放到smartbi.war/vision/目录中,并重启服务器;
       3.启动服务器后访问附件文件,访问地址为:http://ip:port/smartbi/vision/testldap.jsp(这里ip和port改成访问smartbi时的ip和端口),
   正常的访问截图如下:

   

        异常访问的截图:

   

       4.最后根据异常页面中的信息来判断哪里设置有误。



  • 无标签