v4.7社区版
我配置完LDAP以后,连接上AD手动导入了某些用户进去系统,并给该用户分配好访问资源,但为什么用户首次登录的时候,会绕过我手动分配的账号,另行注册一个新用户出来?是每次都只能让AD用户首次登录jumpserver,在系统上注册好账号后我才能设置相应的访问资源权限吗?
另外想咨询下我在LDAP用户列表搜索的时候,为什么不能直接通过AD账号(UPN)搜索?我的映射属性设置如下:
{
“username”: “sAMAccountName”,
“name”: “sn”,
“email”: “mail”
}
最后弱弱的问一句,我在测试电脑下载安装完jumpserverclient客户端以后,为什么在控制面板的“程序和功能”菜单找不到,应该如何彻底卸载?
神秘的刘某
2
你在手动创建用户的时候把“来源”这里选择为“LDAP/AD”,然后在系统设置里有两个设置你可以看一下
最后你说的彻底卸载,一般来说正常安装完都是可以在“程序和功能“看到的。
请查看我的截图,我在安全设置-登录限制-勾选“仅已存在用户登录”,确实需要我先手动从认证设置-LDAP里面进行用户导入后才能登录,但是这个登录是我从LDAP导入后不作修改的情况下,才不会创建新账号。如果我用管理员权限在用户列表对导入的用户进行修改的话,修改用户名的大小写会报错,如果是用户名和邮箱一起修改,登系统后就又会创建一个新的账号。
所以我现在不确定是不是jumpserver本身底层有固定唯一的属性还是我设置问题导致。
名称是可以重复的,用户名和邮箱是唯一的。从 AD 导入用户就是为了和域中的账号保持一致,为什么要去改大小写呢
通过LDAP从AD上抓取到JumpServer上的信息主要是AD的SAMaccountname和mail绑定JumpServer的用户名和邮箱吧。但是对于AD本身只有samaccountname才是唯一,在AD上创建账号的时候mail有部分是留空的,而且samaccountname本身是不区分大小写的,这些通过LDAP同步到jumpserver上的账号,有些要么是AD上的mail是留空,这样就会强制使用JumpServer认证设置上的邮件后缀,有可能造成和用户实际邮箱不匹配。因为在域上存在不同邮箱后缀的用户很正常,毕竟mail这个属性在AD就不是唯一的。另外用户名大小写的问题,是因为windows用户本来登录系统用的samaccountname是不区分大小写的,但创建AD账号的时候由于某些人为原因可能存在某些账号是全大写,某些账号全小写,某些账号大小写。这样在登录jumpserver的时候就需要严格遵守该账号在AD上面的大小写规范,有可能和用户的使用习惯起冲突。很多时候AD上的samaccountname是“User1”,但实际上用户已经习惯了用“user1”登录OS。
如果jumpserver的涉及逻辑是这样的话,那我也可以通过在AD上修改属性去匹配jumpserver的逻辑,但现在又遇到一个问题是,jumpserver上通过LDAP抓取到的某个用户信息是samaccountname:“USER1”,mail:“null”,我在AD上面把该用户信息修改成samaccountname:“user1”,mail:“test@123.com”,再次从jumpserver上用LDAP抓取该用户,还是原来的“USER1”“null”属性。我不确定是同步问题还是其他原因。如果是之前没有通过LDAP同步到jumpserver的账号,比如说我在这时候新建一个用户“user2”“test@163.com”,再通过LDAP抓取到jumpserver,才可以把这个新建用户的信息正常同步到jumpserver。
把“仅已存在用户登录”关闭试一下,这种情况下不区分大小写