设置LDAP认证

← All 文章s

LDAP(轻型目录访问协议)是主要由Microsoft服务(例如Active Directory(AD))使用的协议,用于定位用户帐户,组织和其他资源。 Trakstar可以与任何LDAP或LDAPS服务器集成,从而允许您将Trakstar连接到您的组织’的现有目录。登录后(在我们的标准登录页面上),Trakstar将针对您的LDAP服务器检查用户名和密码,并使这些凭据与Trakstar保持同步。

Authentication using LDAP is an advanced Trakstarfeature. 如果您想将此功能添加到您组织的帐户中,请通过以下方式与我们联系 [email protected].

注意:Trakstar是基于云的应用程序,我们的服务器必须能够与您的LDAP服务器通信。如果您的LDAP服务器受到防火墙或其他网络安全性的保护,则您的组织必须允许Trakstar’的服务器访问。我们的应用程序不支持连接到您的组织’VPN或本地网络。获取更多资讯,请联系 [email protected].

在Trakstar中设置LDAP认证有四个步骤:

  1. 在Trakstar中配置LDAP
  2. 测试配置
  3. 为所有用户启用LDAP身份验证

 

2.在Trakstar中配置LDAP

 

 

 

Trakstar需要以下信息来设置LDAP身份验证,您可以通过访问设置来输入> Authentication & SSO:

 

 

 

主办

LDAP服务器的端点或IP地址。

例子:

  • 54.176.31.140
  • ldap.trakstar.com

 

港口

对于普通连接,通常是389,对于SSL / TLS,通常是636。

 

方法

SSL/TLS 要么 Plain. SSL/TLS is highly recommended, but Trakstarcan communicate over an unencrypted (plain) connection.

 

绑定DN

Account username 要么 fully-qualified DN Trakstarwill use to perform LDAP lookups.

例子:

  • 星际迷航
  • [email protected]
  • CN = Trakstar读取,CN =用户,DC = 星际迷航,DC = com

 

密码

上面绑定用户名或DN的密码,已安全存储并且从未显示。

 

基本DN

用于查找用户的基本DN。

例子:

  • DC = 星际迷航,DC = net,OU =薪水员工
  • dc = 星际迷航,dc = com

 

UID

LDAP attribute corresponding to the username on the 登录 form, usually sAMAccountName 要么 userPrincipalName。使用下面的可选搜索过滤器时,这不是必需的。

 

LDAP搜索过滤器

用于标识用户以代替上面的UID。字符串 %{用户名} 将通过用户输入的值进行插值。

例子:

  • (sAMAccountName =%{用户名})
  • (&(uid =%{username})(memberOf = cn = myapp-users,ou = groups,dc = example,dc = com))
  • (&(objectCategory = person)(objectClass = user)(!(cn = andy)))
  • (sn = sm *)
  • (&(objectCategory = person)(objectClass = contact)(|(sn = Smith)(sn = Johnson)))
  • (&(objectClass = user)(sAMAccountName =%{username})(|((memberof = CN = Employee AL,OU = Salary Employees,DC = 星际迷航,DC = com)(memberof = CN = Employee MZ,OU = Salary Employees,DC = 星际迷航,DC = com)))

 

 

 

将以上信息输入Trakstar,然后继续下一步。

 

3.测试配置

按照说明在Trakstar中测试配置,在单独的浏览器或隐身窗口中打开提供的URL,以便’不受您当前与我们的应用程序会话的影响。

如果登录失败,则可以单击“显示失败的身份验证尝试”从“身份验证设置”页面中查看更多详细的错误消息。

 

 

 

以下是解决LDAP常见问题的一些技巧:

 

操作超时

Trakstartried to issue a request to your LDAP endpoint, but never received a response. You might consider:

  • 仔细检查您的主机和端口是否正确
  • 确保您的LDAP端点可公开访问,或者’ve allowed Trakstar’通过必要的网络安全保护服务器(请参阅本文顶部的注释)

 

绑定失败

Trakstar“binds”使用提供的绑定DN和密码连接到LDAP服务器。如果失败,则可能意味着以下几种情况之一:

  • 绑定DN不正确
  • 绑定DN的密码不正确
  • The LDAP server refused the connection from Trakstarfor some other reason

 

getaddrinfo:提供的节点名或服务名,或者未知

Trakstar在解析LDAP端点的主机名时遇到问题。考虑改用IP地址,因为这通常是DNS问题引起的。

 

用户尚未添加到Trakstar

自动配置用户可能导致同一用户拥有多个帐户,或者您的用户无法访问正确的信息–两者都可能难以纠正。由于这些原因,Trakstar仅对已经添加到应用程序中的用户进行身份验证,而不会自动为新用户创建帐户。用户可以 手动添加 对于较小的组织,或使用 HRIS同步,以便更轻松地批量管理用户。

如果用户成功通过您选择的登录策略进行了身份验证,但是使用了该用户名的帐户(也就是“login”)找不到,他们会收到一个“用户尚未添加到Trakstar” error.

 

4.为所有用户启用LDAP身份验证

一旦充分测试了通过LDAP登录的能力,就可以通过选择LDAP作为启用的身份验证类型来为组织中的所有用户启用它。

 

 

 

启用LDAP作为用户身份验证的方式后,您将’将会注意到,不能在Trakstar中设置或恢复密码。

您也可以致电给我们 1(877)489-5651