将Ellucian的Ethos wso2 5.10.0版连接到Active Directory的LDAP属性问题

Question

刚接触WSO2，所以要温文尔雅。我正在构建Ellucian的Ethos Tomcat身份服务器(版本5.10.0)的一个实例，当我将它指向Active wso2时，Tomcat服务器确实启动了，我可以作为我在Active Directory中为Ethos创建的管理员用户登录，但是当我运行"wso2server.bat -Dsetup“时，我在wso2carbon.log文件中看到类似以下的错误，我想知道我是否应该担心。

错误{org.wso2.carbon.identity.scim.common.internal.SCIMCommonComponent} -为管理员org.wso2.carbon.user.core.UserStoreException设置SCIM属性时出错:将SCIM元数据添加到租户域中的管理员时出错: carbon.super

LDAP:错误代码16 - 00000057: LdapErr: DSID-0C090D77，注释:属性转换操作出错，数据为0，v2580；剩余名称为'CN=ouruser，OU=OurContainer‘

错误{org.wso2.carbon.identity.scim2.common.utils.AdminAttributeUtil} -更新租户ID中的admin用户的属性时出错：-1234，错误:用户: or用户的基础LDAP不支持您尝试添加/更新的一个或多个属性user : ouruser的基础LDAP不支持您尝试添加/更新的一个或多个属性

我打算将AD视为只读的LDAP数据库，因此我在eis_config.properties文件中将"eis.admin.create.user“设置为false，并且我在AD中创建的Ethos管理员用户没有AD管理员权限。AD仅用于身份验证和提取属性并将其发布给服务提供商。它会尝试将属性写入我在AD中创建的Ethos管理员用户吗？

或者是属性映射问题(将AD属性映射回Ethos?)。我在eis_config.properties文件中注意到以下映射部分

eis.add.claim.logonname=sAMAccountName

eis.add.claim.upn=userPrincipalName

eis.add.claim.objectguid=objectGUID

eis.add.claim.udcid=udcid

eis.add.claim.personid=employeeNumber

eis.add.claim.challenge.question.uris=

eis.add.claim.challenge.question.1=

eis.add.claim.challenge.question.2=

eis.add.claim.resource.type=pager

我知道，像"udcid“这样的属性是Ellucian产品特有的，并且不是AD中的LDAP属性，因此我将其设置为"cn”。对于上面空白的属性映射，我将它们映射到真实的AD属性，以查看是否可以消除错误，但它们仍然存在。

有什么想法吗？

Answer 1

您在eis_config.properties文件中尝试过eis.add.claim.employeeType=memberOf吗？

以下各项的AD值是否正确：

eis.admin.role.name=, 

eis.admin.username=,

eis.userstore.ConnectionURL=, 

eis.userstore.ConnectionName=,

eis.userstore.ConnectionPassword=,

eis.userstore.UserSearchBase=,

eis.userstore.UserNameAttribute=,

eis.userstore.GroupSearchBase=,

eis.userstore.SharedGroupSearchBase=, 

eis.userstore.defaultRealmName=,

以及user-mgt.xml设置？