电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 为 TM1 9.5 配置 LDAP 身份验证 -5 [打印本页]

作者: look_w 时间: 2018-2-21 14:30 标题: 为 TM1 9.5 配置 LDAP 身份验证 -5

通常，clientID 的映射应该是 sAMAccountName，这是用户的 Windows 登录名。
用于连接 AD 的 tm1s.cfg 示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

PasswordSource=LDAP
LDAPPort=636
LDAPHost=some.domain.com
LDAPSearchBase=dc=some,dc=domain,dc=com
LDAPSearchField=sAMAccountName
LDAPUseServerAccount=T

# Should TM1 verifiy the cert (=T)or Windows (=F)?
LDAPVerifyServerSSLCert=F
  # only if LDAPVerifyServerSSLCert=T
  # verify based on a  whitelist (=F)or simply default to true (=T)
  LDAPSkipSSLCertVerification=F
  # whitelist of accepted servers
  LDAPVerifyCertServerName=wcsfrkxp99.mydomain.com
  # skip CRL processing (=T) or process (=F)
  LDAPSkipSSLCRLVerification=T

对于不支持 Windows 集成的身份验证的 LDAP 服务器，tm1s.cfg 必须指定 LDAPUseServerAccount=F 并显式地提供 TM1 服务器要使用的 Binding Credential。但是，这些要在几个属性中指定。首先是执行绑定的用户的绝对 DN，TM1 称其为 “Well Known User Name”。这要在 LDAPWellKnownUserName 中指定。并不在此文件中以明文指定这个用户的密码，而是必须使用 tm1crypt 把密码存储在一个加密的文件中。
像下面这样运行 tm1crypt 实用程序：

1
2
3
4

<TM1_ROOT>/bin/tm1crypt -pwd <password>
                     -keyfile <key_output_file>
                     -outfile <encrypted_output_file>
                     [-validate]

对于 password，指定 WellKnownUser 的密码，也就是 BC 的密码。对于 key_output_file，选择一个文件名，它应该表明这是加密文件的密钥，比如 “ldappasskey.dat”。对于 encrypted_output_file，选择一个文件名，它应该表明这是加密的密码文件，比如 “ldappass.dat”。
在 tm1s.cfg 中，在 LDAPPasswordKeyFile 中指定密钥文件（包含用于密码解密的密钥），在 LDAPPasswordFile 中指定加密的密码文件。
用于连接 OpenLDAP 的 tm1s.cfg 示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

PasswordSource=LDAP

LDAPHost=wcsfrkxp99.mydomain.com
LDAPPort=636
LDAPSearchBase=ou=people,dc=cognos,dc=com
LDAPSearchField=uid

LDAPUseServerAccount=F
LDAPWellKnownUserName=cn=binduser,dc=cognos,dc=com
LDAPPasswordFile=e:\cognos\tm1\9.5\bin\ssl\ldappass.dat
LDAPPasswordKeyFile=e:\cognos\tm1\9.5\bin\ssl\ldappasskey.dat

# Should TM1 verifiy the cert (=T)or Windows (=F)?
LDAPVerifyServerSSLCert=F
  # only if LDAPVerifyServerSSLCert=T
  # verify based on a  whitelist (=F)or simply default to true (=T)
  LDAPSkipSSLCertVerification=F
  # whitelist of accepted servers
  LDAPVerifyCertServerName=wcsfrkxp99.mydomain.com
  # skip CRL processing (=T) or process (=F)
  LDAPSkipSSLCRLVerification=T

在 ADMIN 组中添加用户
现在，一切就绪了，可以重新启动 TM1 服务器并激活 LDAP 身份验证。但是，在这么做时，没有可用的管理员账号。这是因为 ETLDAP 只根据 LDAP 数据创建用户和组，并没有把任何用户分配给组。另外，把身份验证模式改为 LDAP 之后，无法再访问原来分配给 ADMIN 组的用户。因此，在切换到 LDAP 身份验证之前，需要把至少一个用户提升为管理员。

打开 Architect。
双击要切换到 LDAP 身份验证的 TM1 服务器。
作为管理员登录（用户名和密码是 admin 和 apple）。
右键单击服务器名并选择 Security -> Clients/Groups。

图 10. 选择 Security -> Clients/groups

Clients/groups" width="563" height="218">

找到从 LDAP 导入的新用户之一，通过选中 ADMIN group 的框让他成为管理员。这个账号现在是新的管理账号。
关闭 Architect。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)