Connecting to an Internal Directory with LDAP Authentication

在登录时拷贝用户（Copy User on Login）

这个选项在用户尝试登录的时候将会被触发。如果这个选择框被选择的话，当用户使用 LDAP 授权的用户名和密码登录系统的时候，用户将会在内部目录自动创建，用户的信息将会在每次用户登录的时候同步过来。如果这个选择框不选择的话，当用户没有在本地目录创建的话，用户的登录将会失败。

如果你选择这个选择框，下面的一些配置将会在屏幕中出现，下面对这些配置进行一些描述：

• Default Group Memberships
• Synchronize Group Memberships
• User Schema Settings（在本页面的其他章节中详细描述）

在登录时更新用户特性（Update User attributes on Login）

当你的用户在系统中进行授权的话，这些用户的属性信息将会从 LDAP 服务器上自动同步到本地。当你选择这个属性的时候，你不能再应用中直接对用户进行删除。

• 如果你希望对用户进行修改，请在 LDAP 服务器上操作。用户的信息将会在登录成功后更新到本地。
• 如果你希望对用户进行删除，请在 LDAP 服务器上操作，同时也需要在本地引用中进行删除。如果你从 LDAP 服务器上进行删除的话，用户将会拒绝登录本地系统。但是不会将这个用户设置为非激活用户，这个设置将会计算你用户的许可证数量，占用你的用户许可证。你需要在登录中更新用户属性（Update User attributes on Login）中删除，然后再重新启用他们。

默认用户组成员（Default Group Memberships）

当你选择 拷贝用户登录（ Copy User on Login）选择框选择后将会出现。如果你希望用户自动被添加到用户组，请在这里选择希望添加到的用户组名称，你可以在这里选择多用户组。

希望指定一个或者多个用户组，在用户组名字之间使用英文逗号进行分割。每次用户登录系统，用户所属的用户组信息将会被检查校验，如果用户不属于这里的用户组，用户将会在每次登录后自动添加到用户组中。

如果这里的用户组值不制定的话，这个用户将会添加到使用 LDAP 授权的内部目录中。

请注意，如果你错误的输入了用户组的名字的话，用户的授权将会返回失败信息。用户将不能访问应用程序或者基于用户组的的用户组功能。

示例：

• confluence-users
• bamboo-users,jira-administrators,jira-core-users

同步用户组成员（Synchronize Group Memberships）

当你选择 拷贝用户登录（ Copy User on Login）选择框选择后将会出现。如果这个对话框被选择的话，在你每次登录系统的时候，在你 LDAP 中的用户组成员将会自动同步到内部目录中。

你可以你选择了下面的一些更多的配置信息，有关名字和描述如下：

• Group Schema Settings（在下面的章节中详细描述）
• Membership Schema Settings（在下面的章节中详细描述）

基本 DN（Base DN）

根专有名称（DN），这个名称在你对目录服务器上进行查询的时候使用。例如：

• o=example,c=com
• cn=users,dc=ad,dc=example,dc=com
• 针对 Microsoft Active Directory 目录服务器，指定 专有 DN 请按照下面的格式： dc=domain1,dc=local。你需要将 domain1 和 local 替换掉你自己的配置。Microsoft Server 提供了一个称为 ldp.exe 的工具，这个工具对你在 LDAP 服务器上对用户配置和查找非常有用。

用户名属性（User Name Attribute）

这个属性将会在你载入用户名的时候使用。例如：

• cn
• sAMAccountName

结果分页（Use Paged Results）

启用或者禁用使用 LDAP 为查询结果进行简单的分页。如果分页功能被启用，查询功能将会返回一部分查询的结果而不是所有的查询结果

输入希望分页的页面大小——这样将会返回在一次查询中最大允许返回的记录数量，默认这个值为 1000。

转移引荐（Follow Referrals）

选择启用这个功能的话，将会运行目录服务器将请求转移到其他的服务器上。这个选项使用的是节点转移（JNDI lookup java.naming.referral）配置设置。

这个配置通常需要 Active Directory 配置正确的 DNS 来避免在操作的时候出现 'javax.naming.PartialResultException: Unprocessed Continuation Reference(s)' 异常。

其他用户 DN（Additional User DN）

这个值被用在进行用户查找和载入的时候来针对 base DN 配置一些扩展信息。如果你没有为这个字段提供任何值，那么子树的查找将会从 base DN 上开始查找。例如：

• ou=Users

用户对象类（User Object Class）

这个是在 LDAP  用户对象中对用户分类的名字。例如：

• user

用户对象过滤器（User Object Filter）

当对用户对象进行搜索的时候使用的过滤器。例如：

• (&(objectCategory=Person)(sAMAccountName=*))

用户全名 RDN 属性（User Name RDN Attribute）

RDN（相对区分的名字）在载入用户名的时候会被使用。针对每一个 LDAP  实例，DN 将会被区分为2 个部分：RDN 和 LDAP 目录服务器记录的位置。RDN 是你 DN 的一部分，这部分将不会关联到目录树结构。例如：

• cn

用户名属性（User First Name Attribute）

这个特性将会在用户名载入的时候被使用。例如：

• givenName

这个特性将会在用户姓载入的时候被使用。例如：

• sn

用户显示名属性（User Display Name Attribute）

这个特性将会在用户全名载入的时候被使用。例如：

• displayName

用户邮件属性（User Email Attribute）

这个特性将会在用户电子邮件地址载入的时候被使用。例如：

• mail

其他用户组 DN（Additional Group DN）

这个值被用在进行用户组查找和载入的时候来针对 base DN 配置一些扩展信息。如果你没有为这个字段提供任何值，那么子树的查找将会从 base DN 上开始查找。例如：

• ou=Groups

用户组对象类（Group Object Class）

这是在 LDAP 用户组对象中使用的类的名字。例如：

• groupOfUniqueNames
• group

用户组对象过滤器（Group Object Filter）

这个过滤器将会在查找用户组对象的时候被使用。例如：

• (objectCategory=Group)

用户组名字属性（Group Name Attribute）

当载入用户组名字的时候，这个字段将会被使用。例如：

• cn

用户组描述属性（Group Description Attribute）

当载入用户组描述的时候，这个字段将会被使用。例如：

• description

用户组成员属性（Group Members Attribute）

这个属性字段将在载入用户组成员的时候使用。例如：

• member

用户成员属性（User Membership Attribute）

这个属性字段将在载入用户组的时候使用。例如：

• memberOf

当找到一个用户组成员的时候，使用用户成员属性（Use the User Membership Attribute, when finding the members of a group）

如果你的目录服务器在用户组中支持用户成员属性的话，你可以选择这个（在默认的情况下，这个是 'member' 属性）。

• 如果这个选择框被选择的话，你的应用程序在使用  retrieving the members of a given group 的时候，将会使用组成员属性。这个会带来更高效的检索效率。
• 如果这个选择框没有被选择的话，你的应用程序在查找的时候将会使用在用户组中使用成员属性（默认是 'member' ）。