You need to enable JavaScript to run this app.
飞连

飞连

请输入
  • 文档首页
    • 飞连管理员指南身份账号配置LDAP Server 全局配置管理
复制全文
我的收藏
账号配置
LDAP Server 全局配置管理
复制全文
我的收藏
LDAP Server 全局配置管理

飞连提供轻量级目录访问协议服务(LDAP Server),支持将飞连作为企业统一的身份供给与认证平台。开启该服务后,飞连将作为企业内部的统一身份源,通过标准的 LDAP 协议向外提供用户身份认证与组织架构查询能力。
为了提升管理效率并统一安全口径,飞连支持将自身作为企业统一的 LDAP 服务端,管理员无需为每个应用重复定义基础规则,可对 LDAP 服务进行全局化配置,确保所有接入系统均遵循一致的安全基线与性能标准。
本文介绍如何配置 LDAP 服务的基础运行规则

说明

如果您已经完成或无需进行全局服务配置,需要对接具体的业务系统,请直接跳转参考LDAP 应用接入管理后台通用配置

一、 配置全局基础信息

在使用 LDAP 协议正式对接第三方系统或应用前,可参考此步骤定义 LDAP 服务默认的运行规则。这些配置将作为全局基线生效,主要用于处理非应用专属的通用连接请求,同时也会作为后续创建新应用时的默认选项。

  1. 登录管理后台。

  2. 在左侧导航栏,选择身份 > 账号配置

  3. 单击 LDAP Server 页签。

  4. LDAP Server 页面下方的基础信息区域,单击右上角的编辑
    Image

  5. 根据企业安全要求和实际部署方案配置以下参数:

    参数

    说明

    密码格式

    设置用户通过 LDAP 协议登录第三方应用时的验证方式。此处的配置将作为默认策略生效。如果在应用级别单独配置了其他格式,则以应用级配置为准。支持以下三种模式:

    • 静态密码:仅使用飞连账号的静态密码进行验证。
    • 动态口令:仅使用飞连 App 生成的动态口令(OTP)进行验证。
    • 静态密码 + 动态口令:需同时输入“静态密码”与“动态口令”组合进行双重验证,提高安全性。

    RDN

    定义用户在 LDAP 目录中的唯一标识属性(User RDN)。此设置直接决定了用户 DN(Distinguished Name)中 uid 字段的取值。该字段必须具有全局唯一性且不能为空。
    此配置将作为默认策略生效。如果在应用级别单独配置了其他属性,则以应用级配置为准。

    LDAP Search 分页

    设置是否开启查询分页功能。性能优化选项。

    • 当企业的组织架构或用户数量极其庞大(例如超过 1000 人),且第三方应用支持分页查询时,建议开启此项以提升同步性能并避免请求超时。
    • 若第三方应用不支持分页查询控件,请保持关闭,否则可能导致同步报错。

    明文通信
    (仅私有化适用)

    控制是否允许 LDAP 服务接收未加密的明文通信请求。默认关闭。开启后支持 389 端口跳过 TLS 校验。仅建议在受信任的隔离内网环境且应用不支持加密通信时谨慎开启。
    开启后账号密码将明文传输,存在安全风险。若业务系统支持,请优先使用 636 加密端口。

    命名上下文
    (仅私有化适用)

    定义整个目录树的根路径(Base DN) 默认为 dc=corplink,dc=com,支持修改,修改时必须符合 LDAP 的 DN 格式。
    如需替换现有的 AD 或 OpenLDAP,可将其修改为与原系统一致的值,实现业务系统的无感迁移。注意,此为全局根节点。若在已有应用运行时修改,会导致所有旧应用因路径失效而无法登录。建议在初始化阶段确定,后期谨慎修改。

    开启短域名
    (仅私有化适用)

    默认关闭,开启后可简化 DN 后缀(例如从dc=demo,dc=corplink,dc=com缩短为 dc=demo,dc=com)。注意,开启会触发 LDAP 服务重启,且所有已对接的应用必须手动同步修改 Base DN 配置,否则将连接失败。

  6. 单击右下角确定保存配置。

二、获取服务端连接信息

完成全局配置后,您需要获取飞连 LDAP 服务的通用连接参数,以用于在第三方系统或应用中进行网络与结构寻址。

  1. 返回 LDAP Server 页面顶部。

  2. 配置信息说明区域,查看并复制以下关键参数,供第三方应用配置使用:
    Image

    参数

    说明

    示例值

    域名 (Hostname)

    LDAP 服务器的访问地址。支持普通协议与加密协议。

    • ldap://ldap.ifeilian.cn (非加密)
    • ldaps://ldap.ifeilian.cn (SSL加密)

    端口 (Port)

    对应协议的通信端口。

    • 389 (LDAP)
    • 636 (LDAPS)

    搜索 DN (Base DN)

    目录树的根节点,第三方应用将从此节点开始向下查询用户或组织。

    ou=users,dc=corplink-boe,dc=corplink,dc=com

    绑定 DN/ 管理员账号(BindDN)、密码(Password)

    用于第三方应用连接飞连的服务账号。飞连采用了更为安全的应用隔离机制,此处不提供全局管理员 Bind DN 和密码,您需为每个接入的应用创建独立的应用记录,系统将为每个应用生成专属的 Bind DN 和密码。

    创建应用后方可获取,详请参看LDAP 应用接入管理后台通用配置

三、后续操作——接入具体业务系统

完成上述基础服务配置后,您需要为每个接入的第三方系统创建独立的应用并获取连接凭证。请参考LDAP 应用接入管理后台通用配置,了解如何创建应用、获取 Bind DN 以及配置具体应用。

最近更新时间:2026.01.08 10:33:10
这个页面对您有帮助吗?
有用
有用
无用
无用