为 TM1 9.5 配置 LDAP 身份验证 -5
- UID
- 1066743
|
为 TM1 9.5 配置 LDAP 身份验证 -5
通常,clientID 的映射应该是 sAMAccountName,这是用户的 Windows 登录名。
用于连接 AD 的 tm1s.cfg 示例
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| PasswordSource=LDAP
LDAPPort=636
LDAPHost=some.domain.com
LDAPSearchBase=dc=some,dc=domain,dc=com
LDAPSearchField=sAMAccountName
LDAPUseServerAccount=T
# Should TM1 verifiy the cert (=T)or Windows (=F)?
LDAPVerifyServerSSLCert=F
# only if LDAPVerifyServerSSLCert=T
# verify based on a whitelist (=F)or simply default to true (=T)
LDAPSkipSSLCertVerification=F
# whitelist of accepted servers
LDAPVerifyCertServerName=wcsfrkxp99.mydomain.com
# skip CRL processing (=T) or process (=F)
LDAPSkipSSLCRLVerification=T
|
对于不支持 Windows 集成的身份验证的 LDAP 服务器,tm1s.cfg 必须指定 LDAPUseServerAccount=F 并显式地提供 TM1 服务器要使用的 Binding Credential。但是,这些要在几个属性中指定。首先是执行绑定的用户的绝对 DN,TM1 称其为 “Well Known User Name”。这要在 LDAPWellKnownUserName 中指定。并不在此文件中以明文指定这个用户的密码,而是必须使用 tm1crypt 把密码存储在一个加密的文件中。
像下面这样运行 tm1crypt 实用程序:
1
2
3
4
| <TM1_ROOT>/bin/tm1crypt -pwd <password>
-keyfile <key_output_file>
-outfile <encrypted_output_file>
[-validate]
|
对于 password,指定 WellKnownUser 的密码,也就是 BC 的密码。对于 key_output_file,选择一个文件名,它应该表明这是加密文件的密钥,比如 “ldappasskey.dat”。对于 encrypted_output_file,选择一个文件名,它应该表明这是加密的密码文件,比如 “ldappass.dat”。
在 tm1s.cfg 中,在 LDAPPasswordKeyFile 中指定密钥文件(包含用于密码解密的密钥),在 LDAPPasswordFile 中指定加密的密码文件。
用于连接 OpenLDAP 的 tm1s.cfg 示例
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| PasswordSource=LDAP
LDAPHost=wcsfrkxp99.mydomain.com
LDAPPort=636
LDAPSearchBase=ou=people,dc=cognos,dc=com
LDAPSearchField=uid
LDAPUseServerAccount=F
LDAPWellKnownUserName=cn=binduser,dc=cognos,dc=com
LDAPPasswordFile=e:\cognos\tm1\9.5\bin\ssl\ldappass.dat
LDAPPasswordKeyFile=e:\cognos\tm1\9.5\bin\ssl\ldappasskey.dat
# Should TM1 verifiy the cert (=T)or Windows (=F)?
LDAPVerifyServerSSLCert=F
# only if LDAPVerifyServerSSLCert=T
# verify based on a whitelist (=F)or simply default to true (=T)
LDAPSkipSSLCertVerification=F
# whitelist of accepted servers
LDAPVerifyCertServerName=wcsfrkxp99.mydomain.com
# skip CRL processing (=T) or process (=F)
LDAPSkipSSLCRLVerification=T
|
在 ADMIN 组中添加用户
现在,一切就绪了,可以重新启动 TM1 服务器并激活 LDAP 身份验证。但是,在这么做时,没有可用的管理员账号。这是因为 ETLDAP 只根据 LDAP 数据创建用户和组,并没有把任何用户分配给组。另外,把身份验证模式改为 LDAP 之后,无法再访问原来分配给 ADMIN 组的用户。因此,在切换到 LDAP 身份验证之前,需要把至少一个用户提升为管理员。
- 打开 Architect。
- 双击要切换到 LDAP 身份验证的 TM1 服务器。
- 作为管理员登录(用户名和密码是 admin 和 apple)。
- 右键单击服务器名并选择 Security -> Clients/Groups。
图 10. 选择 Security -> Clients/groups Clients/groups" width="563" height="218">- 找到从 LDAP 导入的新用户之一,通过选中 ADMIN group 的框让他成为管理员。这个账号现在是新的管理账号。
- 关闭 Architect。
|
|
|
|
|
|