LDAP

Chamiloは、Microsoft Active Directoryを含むLDAPサーバーに対してユーザーを認証することができます。LDAPはconfig/authentication.yamlで設定されます。

設定

authentication:
  1:
    ldap:
      main:
        enabled: true
        title: "LDAPでサインイン"
        connection_string: "ldap://ldap.yourorg.com:389"
        protocol_version: 3
        referrals: false
        force_as_login_method: false

バインドと検索

ディレクトリ内でユーザーを見つけるための2つのアプローチ：

直接バインド — ユーザー名から直接DNを構築します：

        dn_string: "uid=%s,ou=people,dc=yourorg,dc=com"

検索バインド — 最初にサービスアカウントでディレクトリを検索し、見つかったユーザーとしてバインドします：

        base_dn: "dc=yourorg,dc=com"
        search_dn: "cn=readonly,dc=yourorg,dc=com"
        search_password: "service-account-password"
        query_string: "(uid=%s)"
        uid_key: "uid"

Active Directoryの場合、uid_keyとしてsAMAccountNameを使用し、query_stringを(sAMAccountName=%s)に調整してください。

属性マッピング

LDAP属性をChamiloのユーザーフィールドにマッピングするには、data_correspondenceの下に設定します：

        data_correspondence:
          firstname: givenName
          lastname: sn
          email: mail
          phone: telephoneNumber   # 任意
          locale: preferredLanguage  # 任意

firstname、lastname、およびemailは必須です。ユーザーはメールアドレスまたはユーザー名によって既存のChamiloアカウントと照合されます。一致するアカウントが見つからず、allow_create_new_usersがtrueの場合、新しいアカウントが作成されます。

ヒント

本番環境ではLDAPSを使用 — 暗号化された接続のためにldap://をldaps://（ポート636）に切り替えてください。
サービスアカウント — 検索バインドアカウントには、ユーザーエントリへの読み取りアクセス権のみが必要です。
最初にテスト — Chamiloを設定する前に、ldapsearchを使用して接続文字列とクエリを確認してください。
force_as_login_method: true — 他のログインメソッドを非表示にし、すべてのユーザーをLDAP経由で強制的にログインさせます。テスト中はfalseのままにしておくと、標準フォームを介して管理者としてログインできます。

完全なパラメータリファレンスについては、wikiをご覧ください。

前へOAuth2 次へCAS

最終更新 1 か月前

役に立ちましたか？