配置LDAP

配置LDAP

如果 ServiceDesk Plus 允许您使用轻量级目录访问协议 (LDAP),通过域控制器从用户目录导入用户。LDAP 允许用户在登录 ServiceDesk Plus 时使用其 LDAP 凭证。 LDAP 身份验证支持 Linux 和 Windows 用户。

 

所需角色: SDOrgAdmin


要在 ESM 设置中配置 AD 相关设置,请转到 ESM 目录> 用户> LDAP。

配置域控制器

要导入用户和设置 LDAP 身份验证,必须首先为导入的域配置域控制器。


在 LDAP 配置页面上,单击域控制器块下的添加新域。使用以下指针配置域控制器:

字段名

描述

域控制器*

指定要从哪个域导入用户的域控制器。域控制器会响应相关域内所有与安全相关的身份验证请求。

  • URL 语法如下:ldap://<server name>:<port number> ,其中默认端口为 389。
  • 要以安全模式连接 LDAP,请使用以下 URL:ldaps://hostname:636(默认端口为 636)。

用户名

在给定字段中输入用户名和组织单位(或区别名称)。

密码

指定用于登录 Active Directory 的密码。

基础 DN*

基础 DN 表示区分的基础名称。例如 CN = 用户,DC = 域名,DC = com。

搜索过滤器*

在搜索过滤器字段中指定应用于域控制器的条件。例如:mail=* 将从指定域控制器中的参数 mail 导入用户。

LDAP服务器类型*

如果您将服务器类型选择为默认 LDAP(如 Microsoft Active Directory、Novell eDirectory 和 OpenLDAP),则将自动填充以下字段。

如果 LDAP 服务器类型为其他,则在相应字段中指定登录属性标签、邮件属性标签和区分名称属性标签(类似于基本 DN)。

*必填字段

 

点击保存或保存并导入。也可以点击相应域控制器上的立即导入,从现有域中导入用户。从同一域导入用户时,现有数据将被覆盖。

 

 

导入用户后,可以从 LDAP 配置中配置身份验证和计划导入。


可以从域控制器表中编辑/删除域控制器:
  • 点击域控制器名称进行编辑。
  • 从表中选择域控制器并点击 图标删除它们。请注意,从删除的域控制器导入的用户将无法使用 LDAP 凭证进一步登录应用程序。

设置本地身份验证密码 


可以为通过 LDAP 导入的用户设置默认本地验证密码。 用户可以在首次登录后更改密码。
您可以在安全设置中强制用户在首次登录后更新默认密码。

 

从 LDAP 配置页面设置本地身份验证密码,

  1. 将鼠标悬停在本地身份验证密码字段上,然后点击编辑。
  2. 您可以选择为每个用户生成一个随机密码,或为所有用户设置一个预定义密码。
  3. 点击保存。
确保预设密码符合密码策略的所有要求。
为 LDAP 导入的用户设置的本地验证密码也适用于通过 AD 和 CSV 文件导入的用户。

 

 

用户将在登录电子邮件中收到密码通知。您可以在ESM 目录>常规设置>通知规则>请求>发送自助服务登录详细信息中为用户配置电子邮件通知。

计划LDAP 导入

您可以定期安排 LDAP 导入,使用户存储库与 LDAP 服务器保持同步。计划 LDAP 导入时,应用程序中所有配置的 LDAP 服务器的数据将每隔指定天数导入一次。LDAP 中所有域的用户和用户详细信息都会同步到 ServiceDesk Plus。

  1. 将鼠标悬停在 LDAP 计划字段上,然后点击编辑。
  2. 启用计划LDAP导入每……选项并指定导入时间。
  3. 指定开始计划的日期和时间。
  4. 点击保存。

 

域中的用户详细信息将按照开始日期和时间后指定的天数定期导入。在同一域中连续导入时,现有数据将被覆盖。

 

 

LDAP 认证

您可以允许用户使用其 LDAP 凭证登录 ServiceDesk Plus。

  1. 导入用户后,将鼠标悬停在 LDAP 身份验证复选框上。
  2. 点击编辑。
  3. 选择启用 LDAP 身份验证复选框。
  4. 点击保存。

 

在登录屏幕中,用户可以指定其 LDAP 登录凭证并选择域以登录 ServiceDesk Plus。他们也可以在登录过程中绕过 LDAP 身份验证,方法是从域下拉菜单中选择本地身份验证并指定本地凭证。

对于 Windows 用户,如果启用了 LDAP 身份验证,AD 身份验证将自动禁用。

 

导入用户自定义字段(请求人)

您可以导入默认用户属性,如登录名、区分名称和域名字段。其他用户属性(如电话、手机、部门、办公室、职位和电子邮件)会映射到 sd ldap字段映射表中的 LDAP 属性。

 

例如,要将员工 ID 字段映射到 AD 或打开LDAP 等目录的员工ID 属性,需要执行以下操作:


在数据库服务器中执行以下插入查询,在 sd ldap 字段映射表中插入一行:

insert into sdldapfieldmap values (7, null, 'employeeid', 'employeeID', true);

 

请注意,ID 列为 7,因为默认情况下有 6 个条目。

 

要导入更多附加字段(如用户定义字段),SDAdmin 或具有数据库访问权限的用户可将 API 字段名映射到 sd ldap 字段映射表中相应的 LDAP 属性。


例如,要将用户定义字段公司映射到目录的公司属性,必须使用以下插入查询在 sd ldap 字段映射表中插入一行:

insert into sdldapfieldmap values (8, null, 'udf_pick_1', 'company', true);

 

API 字段名称将列在 ESM 目录 > 用户 - 附加字段下的相应列中。

 

执行查询后重新启动服务器。然后,将用户导入 LDAP 服务器。

以安全的 LDAPS 模式连接 ServiceDesk Plus 

要以安全模式连接 LDAPS,必须导入自签名证书。

 

生成 LDAPS 证书的步骤:

  • 点击下面的相应链接下载压缩文件。
  • 将文件解压缩到 ManageEngine\ServiceDesk 中。
  • 打开命令提示符并转到 ManageEngine\ServiceDesk 。
  • 运行格式如下的批处理文件:
    • Windows:
C:>ManageEngine\ServiceDesk>gencert.bat <server name>:<port number>
  • Linux:  
ManageEngine\ServiceDesk>gencert.sh <server name>:<port number>
  • 运行该命令时,会出现 PKIX 异常,并要求您输入一个值。输入 1 后,将生成一个名为 jssecacerts 的文件。该文件将保存在 ManageEngine\ServiceDesk 中。
  • 将文件复制到 ManageEngine\ServiceDesk\jre\lib\security 并重启应用程序。
  • 再次保存 LDAP 配置。