LDAP-AD 인증 모델을 사용하기 위한 Alfresco 설치 설정(Windows)이 있습니다. 사용자가 자신의 사용자 이름만으로 로그인하면 계정이 제대로 생성되고 액세스가 허용됩니다. 그러나 이메일 주소로 로그인하면 "깨진" 계정에 로그인됩니다. 그들의 자료에는 접근할 수 없으며 실제 계정으로 표시되지도 않습니다.
전자 메일 주소 로그인이 일반 사용자 이름 로그인으로 리디렉션되거나 전자 메일 주소 로그인을 완전히 거부해도 괜찮습니다.
더 이상 사용자를 추가할 필요가 없다면 synchronization.autoCreatePeopleOnLogin = false이러한 전자 메일 부분 계정을 방지하기 위해 구성에서 수행할 수 있는 것으로 보입니다. 그러나 우리 환경에는 빈번한 간격으로 자동 추가해야 하는 새로운 사람들이 있으며(매번 구성을 조정하고 서비스를 재설정하면 매우 빨리 낡아지므로) LDAP-AD 구성에는 자동 생성이 필요합니다(수동 계정 생성 옵션은 회색으로 표시됨) 밖으로).
다른 아이디어?
편집 - 뭔가 부족한 것이 아니라 내가 한 일처럼 들리므로 구성을 추가합니다 ...
### Active Directory Integration ###
authentication.chain=passthru1:passthru,ldap1:ldap-ad
passthru.authentication.sso.enabled=false
passthru.authentication.allowGuestLogin=false
passthru.authentication.authenticateCIFS=false
passthru.authentication.authenticateFTP=false
passthru.authentication.servers=domain.com
passthru.authentication.domain=DOMAIN
passthru.authentication.useLocalServer=false
passthru.authentication.defaultAdministratorUserNames=specialadminaccount
passthru.authentication.connectTimeout=5000
passthru.authentication.offlineCheckInterval=300
passthru.authentication.protocolOrder=TCPIP,NETBIOS
ldap.authentication.active=false
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.userNameFormat=%s
ldap.authentication.allowGuestLogin=false
ldap.authentication.java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory
ldap.authentication.java.naming.provider.url=ldap://domain.com:389
ldap.authentication.escapeCommasInBind=false
ldap.authentication.escapeCommasInUid=false
ldap.synchronization.active=true
ldap.synchronization.java.naming.security.principal= DOMAIN\\specialadminaccount
ldap.synchronization.java.naming.security.credentials=password
ldap.synchronization.queryBatchSize=1000
ldap.synchronization.groupDifferentialQuery=(&(objectclass=nogroup)(!(modifyTimestamp<\={0})))
ldap.synchronization.personQuery=(&(objectclass=user)(userAccountControl\:1.2.840.113556.1.4.803\:\=512))
ldap.synchronization.personDifferentialQuery=(& (objectclass=user)(!(modifyTimestamp<\={0})))
ldap.synchronization.groupQuery=(objectclass\=group)
ldap.synchronization.groupSearchBase=cn\=users,dc=domain,dc=com
ldap.synchronization.userSearchBase=cn\=users,dc=domain,dc=com
ldap.synchronization.modifyTimestampAttributeName=modifyTimestamp
ldap.synchronization.timestampFormat=yyyyMMddHHmmss’.0Z’
ldap.synchronization.userIdAttributeName=sAMAccountName
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn
ldap.synchronization.userEmailAttributeName=mail
ldap.synchronization.userOrganizationalIdAttributeName=msExchALObjectVersion
ldap.synchronization.defaultHomeFolderProvider=userHomesHomeFolderProvider
ldap.synchronization.groupIdAttributeName=cn
ldap.synchronization.groupType=Nogroup
ldap.synchronization.personType=user
ldap.synchronization.groupMemberAttributeName=member
synchronization.synchronizeChangesOnly=false
답변1
또한 게시물을 참조하십시오https://forums.alfresco.com/forum/installation-upgrades-configuration-integration/configuration/ldap-authentication-ad-email#comment-155600무슨 일이 일어나고 있는지 확인하기 위해.
문제는 야외에서 DNS 조회를 수행하고 개체를 검색하지 않고 비밀번호로 로그인을 시도한다는 것입니다.
그러한 종류의 시나리오에서는 DNS가 LDAP에서 어떻게 보이는지 특별히 주의해야 합니다.
스크린샷을 보면 다른 모든 속성이 동일하더라도 dn의 식별이 달라져서 다음을 통해서만 로그인할 수 있다는 것을 확인하세요.[이메일 보호됨]하지만 다른 로그인이 작동하지 않았습니다.
속성 변경 사항은 다음과 같습니다
ldap.authentication.userNameFormat=mail=%s,ou=people,dc=organisation,dc=com
ldap.synchronization.userIdAttributeName=mail
