如何使用TikiWiki获取Active Directory组

Question

所以我已经看到了围绕这个问题的许多问题，大多数人在TikiWiki上登录时无法对AD进行身份验证。我有没有问题的工作。

我面临的问题是应该与AD中的组集成，以便我可以在Tiki中为这些组分配权限和访问权限。我所做的一切都不允许我提取组信息，因此我不能在不使用内部（仅限Tiki）组的情况下将它们分开，并在用户登录后分配它们。在一家大公司中，这将是非常乏味的....

以下是我的LDAP标签和LDAP外部组标签的屏幕截图，当然还有敏感信息。如果我遗漏了某些东西或者有错误的配置，请帮忙。我按照这里的步骤来设置一切：https://tiki.org/forumthread42893。 TikiWiki版本是15.2（当前稳定）

LDAP设置

LDAP外部群组设置

Answer 1

我终于明白了。这适用于Tikiwiki 16.2：

<强> 1。在“常规首选项”选项卡中：

• 身份验证方法部分，选择Tiki和LDAP
• 取消选中忘记密码
• 取消选中用户可以更改密码

<强> 2。在LDAP选项卡中，设置如下（您可能需要打开高级模式以查看更多设置）：

LDAP

• 如果Tiki中不存在用户：创建用户
• 取消选中“如果不在LDAP中创建用户”
• 选中使用Tiki身份验证进行管理员登录

LDAP绑定设置

• 主持人：ldap：//
• 港口：389
• 在Tiki日志中编写LDAP调试信息：
• LDAP绑定类型：Active Directory（用户名@域）
• 搜索范围：子树
• LDAP版本：3
• 基本DN：DC = MYDOMAIN，DC = COM

LDAP用户

• 用户DN：OU =所有用户（如果您想从特定OU中提取用户，如果没有，请留空，还记得省略基本DN部分）
• 用户属性：sAMAccountName
• 用户OC：人
• Realname属性：displayName
• 国家/地区属性：
• 电子邮件属性：userPrincipalName

LDAP管理员

• 管理员用户：admin@mydomain.com（以@的形式）
• 管理员密码：

第3。在LDAP外部组选项卡中，设置如下：

LDAP外部组

• 取消选中“为组使用外部LDAP服务器”

LDAP绑定设置

• 主持人：ldap：//
• 港口：389
• 检查在Tiki日志中写入LDAP调试信息
• 取消选中使用SSL（ldaps）（因为我不使用SSL）
• 取消选中使用TLS（因为我不使用TLS）
• LDAP绑定类型：Active Directory（用户名@域）
• 搜索范围：子树
• LDAP版本：3
• 基本DN：DC = MYDOMAIN，DC = COM

LDAP用户

• 用户DN：OU =所有用户（如果您想从特定OU中提取用户，如果没有，请留空，还记得省略基本DN部分）
• 用户属性：sAMAccountName
• 第一个目录中的相应用户属性：sAMAccountName
• 用户OC：人
• 检查将Tiki群组与目录同步（重要）

LDAP组

• 组DN :(将组DN设置为您希望从中提取组的特定OU，如果您希望使用整个目录，请留空。请注意，据我所知，如果您在此处指定某些内容，则只会从特定的OU，而不是该OU的成员。例如，设置ou = IT，ou =授权用户将从授权用户\ IT组织单位提取组，但不会从授权用户\ IT \ Admins（ou =管理员，ou = IT，ou =授权用户）OU。可能有某些内容可以修改此行为，但我还没有找到它。再次，空白设置将获取所有组信息。）
• 组名属性：sAMAccountName
• 组说明属性：说明
• Group OC：group
• 检查将Tiki用户与目录同步

LDAP组成员 - 如果可以在组属性中找到组成员身份

• 会员属性：会员
• 检查会员是否为DN

LDAP用户组 - 如果可以在用户属性中找到组成员资格

• 组属性：memberOf
• 组条目中的组属性：cn

LDAP管理员

• 管理员用户：admin@mydomain.com（以@的形式）
• 管理员密码：

<强> 4。点击“应用”并享受

从现在开始，每当用户登录时，如果他们还没有在Tikiwiki上创建她所属的所有组。

我还在这里写了一篇文章：http://www.dangtrinh.com/2017/04/ldap-authentication-with-active.html