LDAP 身份验证

仅当您希望使用 LDAP 服务器对 Paragon Active Assurance 用户进行身份验证时，本章才有意义。

Paragon Active Assurance 支持使用 LDAP 以集中方式管理和验证用户。然后使用远程服务器而不是本地控制中心用户数据库完成认证。

当用户尝试登录“控制中心”时，后者会向 LDAP 服务器发送授权请求。根据响应，控制中心授予或拒绝用户访问 Paragon Active Assurance 帐户的权限，详见响应。

• 如果在从 LDAP 到控制中心的映射中定义了某个帐户两次，则用户将获得授予的两个帐户中的更高权限。因此，如果权限在一个列表元素中设置为“读取”，在另一个列表元素中设置为“admin”，则用户将获得该帐户的管理员权限。
• 如果一个权限映射向一个帐户授予权限，而另一个映射拒绝该权限，则用户将获得对该帐户的访问权限。
• 每次用户登录时，帐户权限都会与 LDAP 服务器同步。如果 Paragon Active Assurance 本地管理员授予用户其他权限，则这些权限仅在用户下次登录之前有效。相反，如果用户的权限在LDAP服务器上发生更改，则这些权限在下次登录之前不会生效。
• 如果在登录时输入的用户名与现有控制中心用户的电子邮件地址匹配，则登录将继续使用该用户，而不是正在创建的新用户。但是，在服务器身份验证期间，除了密码之外的所有用户配置文件详细信息都将被存储在服务器上的内容覆盖，只要这些详细信息已定义。用户仍然可以使用现有的控制中心密码登录。这意味着部分用户可以在“控制中心”中设置密码，以便在 LDAP 服务器出现故障时仍然可以登录。
• 如果登录时输入的用户名在“控制中心”中不存在，则会发生以下情况：
  • 从用户 email 字段中读取用户的电子邮件地址。可以使用设置 AUTH_LDAP_USER_ATTR_MAP更改此字段的名称。
  • 如果电子邮件地址有效，它也将被输入为控制中心数据库中的电子邮件地址。但是，用户仍必须使用其 LDAP 用户名登录。
  • 如果电子邮件地址无效，则将使用该结构 username@LDAP_EMAIL_DOMAIN 创建一个电子邮件地址并将其输入到数据库中。编辑设置文件以更改此域。