Docker LDAP目錄服務安裝教程

Docker 與所有優秀的企業級工具一樣，UCP 能夠與活動目錄及其他 LDAP 目錄服務進行集成，從而利用組織中現有的單點登錄系統中的用戶和組。

在開始更加深入的介紹之前，請務必與負責組織目錄服務的團隊討論 AD/LDAP 的集成方案。讓他們從集成之初就參與進來，從而使得集成方案的制定和實施盡可能順利進行。

UCP 的用戶和組的數據存儲在一個本地數據庫中，從而使DTR能夠“開箱即用”地直接利用這一點來實現單點登錄(SSO)。UCP 的認證作用于本地所有的訪問請求，因此登錄到 DTR 時并不需要再輸入一遍 UCP 的登錄信息了。

不過，UCP 管理員可以通過對 UCP 進行配置，以便利用現有存儲在 AD 或其他 LDAP 目錄服務中的企業用戶賬戶，從而將賬戶管理和身份認證工作交給現有團隊或服務。

下面將介紹如何配置 UCP，來利用 AD 的用戶賬號。總體來說，其過程在于讓 UCP 在一個指定的目錄中搜索用戶賬號，并將其復制到 UCP 中。再次強調，以下操作請與目錄服務團隊合作完成。

⒈ 展開左側導航欄的 Admin(管理)下拉菜單，然后選擇 Admin Settings(管理設置)。

⒉ 選擇 Authentication & Authorization(認證&授權)，并在 LDAP Enabled 啟用 LDAP 標題下單擊 Yes。

⒊ 配置 LDAP 服務器設置。總體來說，LDAP Server Settings(LDAP 服務設置)可以理解為到哪里去搜索。也就是，到哪個目錄中去查詢用戶賬號。

這里填寫的內容以實際環境為準。

LDAP Server URL(LDAP 服務器 URL)指域中要去搜索賬戶的 LDAP 服務器。例如 ad.mycompany.internal。

Reader DN 和 Reader Password 是在目錄中有搜索權限的用戶信息。該賬戶必須是在目錄中存在且可信的。最好的實踐方式是使用對目錄具有只讀權限的賬戶。

也可以單擊 Add LDAP Domain + 按鈕來添加額外的搜索域。每一個搜索域都需要提供其 LDAP Server URL 和 Reader account。

⒋ 設置LDAP用戶搜索配置項。如果說 LDAP Server Settings是到哪里去搜索，那么LDAP User Search Configuration(LDAP用戶搜索配置)就是搜索什么。

Base DN：指在哪個 LDAP 節點中開始搜索。

UserName Attribute：指會被用于 UCP 中用戶名的 LDAP 屬性。

Full Name Attribute：指會被對應到 UCP 中用戶全名的 LDAP 屬性。

其他高級設置請查看文檔。當然，在配置與 LDAP 集成的時候還應咨詢目錄服務團隊。

⒌ 一旦完成了 LDAP 的配置，UCP 會在 LDAP 搜索匹配的用戶，并在 UCP 的用戶數據庫創建它們。之后，UCP 會根據在 Sync Interval (Hours)(同步周期(小時))的設置進行周期性的同步。

如果勾選 Just-In-Time User Provisioning(即時用戶置備)復選框，UCP 會將創建用戶的操作延遲到該用戶第一次登錄時進行。

⒍ 在單擊 Save 前，盡量在 LDAP Test Login(LDAP 登錄測試)下進行登錄測試。

在進行登錄測試時需要使用所配置的 LDAP 系統中的賬戶。該測試會基于以上的所有配置(待保存的 LDAP 配置)。請在測試成功后再保存配置。

⒎ 保存配置。

此時，UCP 會搜索 LDAP 系統，并創建能夠匹配 Base DN 以及其他配置的賬戶。在集成 LDAP 之前創建的賬戶依然存在于系統中，并且依然可用。