Giao diện

Hướng dẫn cài đặt LDAP

Hướng dẫn thiết lập xác thực LDAP / Active Directory trong Digiforce, bao gồm cấu hình kết nối, filter tìm kiếm và kiểm tra hoạt động.

Điều kiện tiên quyết

  • Digiforce đã cài đặt và chạy ổn định
  • Plugin @digiforce-nc/plugin-auth-ldap đã được kích hoạt
  • Thông tin kết nối LDAP server: URL, service account (bind DN + password), base DN

Bước 1: Tạo authenticator trong Digiforce

  1. Vào Settings → Authentication → Add new
  2. Chọn loại LDAP
  3. Đặt tên authenticator (ví dụ: company-ad, ldap-main)
  4. Lưu lại

Bước 2: Cấu hình kết nối LDAP

Điền các thông số kết nối:

TrườngVí dụMô tả
URLldap://ad.company.com:389Địa chỉ LDAP server
Bind DNcn=svc-digiforce,ou=services,dc=company,dc=comDN của service account
Bind Password***Mật khẩu service account
Search DNou=employees,dc=company,dc=comBase DN để tìm kiếm user

Bước 3: Cấu hình filter tìm kiếm

Filter xác định cách tìm user trong LDAP directory. Sử dụng placeholder account — plugin sẽ thay thế bằng giá trị user nhập vào khi đăng nhập.

Ví dụ filter cho Active Directory:

(sAMAccountName=account)

Ví dụ filter cho OpenLDAP:

(uid=account)

Filter nâng cao — tìm theo email hoặc username:

(|(mail=account)(uid=account))

Lưu ý

Placeholder account trong filter sẽ được thay thế bằng giá trị thực khi user đăng nhập. Ví dụ nếu user nhập john, filter (uid=account) trở thành (uid=john).

Bước 4: Cấu hình attribute mapping

Map các LDAP attribute sang local user fields:

json
{
  "mail": "email",
  "cn": "nickname",
  "sAMAccountName": "username",
  "telephoneNumber": "phone"
}

Bước 5: Test kết nối

  1. Trong trang cấu hình authenticator, nhấn nút Test Connection
  2. Plugin gọi action ldap:test — thực hiện bind service account và search thử
  3. Nếu thành công, hiển thị thông báo kết nối OK
  4. Nếu thất bại, kiểm tra lại URL, Bind DN, password và quyền của service account

Hoặc test qua API:

bash
curl -X POST https://your-domain.com/api/ldap:test \
  -H "Authorization: Bearer {admin-token}" \
  -H "Content-Type: application/json" \
  -d '{"authenticator": "company-ad"}'

Bước 6: Kiểm tra đăng nhập

  1. Mở cửa sổ ẩn danh
  2. Tại trang đăng nhập, chọn form LDAP (nếu có nhiều authenticator)
  3. Nhập account và password từ LDAP directory
  4. Xác minh đăng nhập thành công và user được tạo/liên kết đúng

Lưu ý bảo mật

  • Sử dụng ldaps:// (LDAP over SSL) trong production thay vì ldap://
  • Service account chỉ cần quyền read trên directory — không cần quyền write
  • Bind password nên lưu qua biến môi trường, không hard-code trong cấu hình