如何使Active Directory组使用TikiWiki

Question

因此，我已经看到了许多围绕这个问题的问题，大多数问题都是由于在TikiWiki上登录AD而被卡在身份验证上的。我的工作没有问题。

我面临的问题是，应该与AD中的组进行集成，这样我就可以在Tiki中为这些组分配特权和访问权限。我所做的任何事情都不允许我输入组信息，所以我不能将它们分开，而不使用内部组(只使用Tiki)并在用户登录后分配它们。在一家大公司里，那将是痛苦乏味的..。

下面是我的LDAP选项卡和LDAP外部组选项卡的屏幕截图，当然，敏感信息是经过编辑的。如果我遗漏了什么或者有什么配置错误，请帮助。我沿着这条路走过来，准备好了一切：https://tiki.org/forumthread42893。TikiWiki版本为15.2 (当前稳定)

LDAP设置

​

LDAP外部组设置

​

Answer 1

我终于弄明白了。这对我适用于Tikiwiki 16.2：

1.在“一般偏好”选项卡中：

• 认证方法部分，选择Tiki和LDAP。
• 取消检查忘记密码
• 取消检查用户可以更改其密码。

2.在LDAP选项卡中，设置如下(您可能需要切换高级模式以查看更多设置)：

LDAP

• 如果Tiki中不存在用户:创建用户
• 取消选中创建用户(如果不在LDAP中)
• 检查使用Tiki身份验证管理登录

LDAP绑定设置

• 主机: ldap://
• 港口: 389
• 在Tiki日志中编写LDAP调试信息：
• LDAP绑定类型：(用户名@域)
• 搜索范围:子树
• LDAP版本:3
• 基本DN: DC=MYDOMAIN，DC=COM

LDAP用户

• 用户DN: OU=All用户(如果您想从特定的OU中提取用户，如果不是，请保留空白，还请记住省略Base部分)
• 用户属性: sAMAccountName
• 用户OC: person
• Realname属性: displayName
• 国家属性：
• 电子邮件属性: userPrincipalName

LDAP管理

• 管理用户: admin@mydomain.com (以@的形式)
• 管理密码：

在外部组选项卡中，设置如下：

LDAP外部组

• 取消对组使用外部LDAP服务器

LDAP绑定设置

• 主机: ldap://
• 港口: 389
• 在Tiki日志中检查写LDAP调试信息
• 取消使用SSL (ldaps) (因为我不使用SSL)
• 取消使用TLS (因为我不使用TLS)
• LDAP绑定类型：(用户名@域)
• 搜索范围:子树
• LDAP版本:3
• 基本DN: DC=MYDOMAIN，DC=COM

LDAP用户

• 用户DN: OU=All用户(如果您想从特定的OU中提取用户，如果不是，请保留空白，还请记住省略Base部分)
• 用户属性: sAMAccountName
• 第一个目录中相应的用户属性: sAMAccountName
• 用户OC: person
• 检查目录下的Tiki组(重要)

LDAP组

• 组DN：(将groups设置为您希望从其中提取组的特定OU，如果希望使用整个目录，请保留空白。请注意，据我所知，如果您在这里指定了什么，它只会从特定的OU中提取，而不是从该OU的成员中提取。例如，设置ou=IT，ou=Authorized用户将从授权用户\IT组织单元中提取组，但不会从授权用户\IT\Admins (ou=Admins、ou=IT、ou=Authorized用户) OU中提取组。也许有什么东西可以改变这种行为，但我还没有找到。同样，空白设置将获取所有组信息。)
• 组名属性: sAMAccountName
• 组描述属性:描述
• 组OC:组
• 使用目录检查Tiki用户的同步

LDAP组成员-如果可以在组属性中找到组成员

• 成员属性:成员
• 检查成员为DN

LDAP用户组-如果可以在用户属性中找到组成员

• 组属性: memberOf
• 组条目中的组属性: cn

LDAP管理

• 管理用户: admin@mydomain.com (以@的形式)
• 管理密码：

4.单击Apply并享受

从现在开始，每当用户登录时，如果Tikiwiki还不存在，就会在Tikiwiki上创建她所属的所有组。

我还在这里写了一篇文章：http://www.dangtrinh.com/2017/04/ldap-authentication-with-active.html