4.3. 轻量级目录访问协议(LDAP)和 Active Directory

Red Hat Single Sign-On 将用户从 LDAP 导入到本地 Red Hat Single Sign-On 用户数据库。这个用户数据库的副本会按需同步，或者通过定期后台任务同步。同步密码存在异常。Red Hat Single Sign-On 不会导入密码。密码验证始终出现在 LDAP 服务器上。

同步的优点在于，所有红帽单点登录功能都高效工作，因为任何需要的额外用户数据都存储在本地。缺点是，每次 Red Hat Single Sign-On 首次查询特定用户时，Red Hat Sign-On 都会执行对应的数据库插入。

您可以将导入与 LDAP 服务器同步。当 LDAP 映射总是从 LDAP 而不是数据库读取特定属性时，导入同步是不必要的。

您可以将 LDAP 与 Red Hat Single Sign-On 一起使用，无需将用户导入到 Red Hat Single Sign-On 用户数据库中。LDAP 服务器备份 Red Hat Single Sign-On 运行时使用的通用用户模型。如果 LDAP 不支持 Red Hat Single Sign-On 功能需要的数据，则该功能将无法正常工作。这种方法的优势在于，您不能将 LDAP 用户副本导入和同步至 Red Hat Single Sign-On 用户数据库中的资源使用。

在 LDAP 配置页面中的 Import Users 切换会控制这个存储模式。要导入用户，请将此开关切换到 ON。

用户和管理员可以通过 帐户控制台和管理员修改用户元数据、用户，并通过管理控制台 修改用户元数据。LDAP 配置页面中的 Edit Mode 配置定义了用户的 LDAP 更新权限。

当您为 LDAP 存储配置安全连接 URL （例如ldaps://myhost.com:636）时，Red Hat Single Sign-On 使用 SSL 与 LDAP 服务器通信。在 Red Hat Single Sign-On 服务器端配置信任存储，以便 Red Hat Single Sign-On 可以信任到 LDAP 的 SSL 连接。

使用 Truststore SPI 为 Red Hat Single Sign-On 配置全局信任存储。有关配置全局信任存储的更多信息，请参阅 服务器安装和配置指南。如果您没有配置 Truststore SPI，则信任存储会回退到 Java 提供的默认机制，后者可以是 javax.net.ssl.trustStore 系统属性提供的文件，或者 JDK 中的 cacerts 文件（如果设置系统属性）。

使用 Truststore SPI 配置属性在 LDAP 联合供应商配置中，控制信任存储 SPI。默认情况下，Red Hat Single Sign-On 会将 属性设置为 仅适用于 ldaps，这对于大多数部署来说是足够的。如果连接到 LDAP 的连接 URL 仅以 ldaps 开始，Red Hat Single Sign-On 使用 Truststore SPI。

如果您设置了 Import Users 选项，LDAP 提供程序将 LDAP 用户导入到 Red Hat Single Sign-On local 数据库中。当用户第一次登录时，LDAP 供应商将 LDAP 用户导入到 Red Hat Single Sign-On 数据库并验证 LDAP 密码。当用户第一次登录时，用户才是 Red Hat Single Sign-On 导入用户的唯一时间。如果单击 Admin Console 中的 Users 菜单并点击 View all users 按钮，则您只看到红帽单点登录至少验证的 LDAP 用户。Red Hat Single Sign-On 以这种方式导入用户，因此此操作不会触发整个 LDAP 用户数据库的导入。

如果要将所有 LDAP 用户同步到 Red Hat Single Sign-On 数据库，在 LDAP 提供程序配置页面中配置和启用 Sync Settings。

存在两种类型的同步：

您第一次创建 LDAP 供应商时，最好单击 Synchronize all 用户，然后设置更改用户的定期同步。

LDAP 映射器是由 LDAP 提供程序触发 的监听程序。它们为 LDAP 集成提供了另一个扩展点。当以下情况时触发 LDAP 映射：

当您创建 LDAP Federation 提供者时，Red Hat Single Sign-On 会自动为此提供程序提供一组 映射程序。用户可以更改此设置，也可以开发映射程序或更新/删除现有的项。

将基本红帽单点登录用户属性（如用户名、名字、姓氏和电子邮件）映射到对应的 LDAP 属性的用户属性。您可以扩展这些属性并提供自己的额外属性映射。Admin Console 提供工具提示，可帮助配置对应的映射程序。

当 Red Hat Single Sign-On 更新密码时，Red Hat Single Sign-On 以纯文本格式发送密码。此操作与更新内置 Red Hat Single Sign-On 数据库中的密码不同，其中 Red Hat Single Sign-On 哈希和 salt 在将密码发送到数据库之前。对于 LDAP，Red Hat Single Sign-On 依赖于 LDAP 服务器来哈希和 salt 密码。

默认情况下，LDAP 服务器（如 MSAD、RHDS 或 FreeIPA 哈希）和 salt 密码。其他 LDAP 服务器（如 OpenLDAP 或 ApacheDS）会以纯文本形式存储密码，除非您使用 LDAPv3 Password Modify Extended Operation，如 RFC3062 所述。在 LDAP 配置页面中启用 LDAPv3 Password Modify Extended Operation。如需了解更多详细信息，请参阅您的 LDAP 服务器文档。

将类别 org.keycloak.storage.ldap 的日志级别增加到 TRACE。通过这个设置，许多日志消息发送到 TRACE 级别中的服务器日志，包括所有对 LDAP 服务器和参数（用于发送查询）的日志记录。当您在用户论坛或 JIRA 上创建任何 LDAP 问题时，请考虑将服务器日志与已启用 TRACE 日志记录连接。如果情况太大，则好的替代方案是将服务器日志中的代码片段包含在操作期间添加到日志中，这会导致问题所在。

Creating new LDAP Store for the LDAP storage provider: ...

Creating new LDAP Store for the LDAP storage provider: ...

它显示了您的 LDAP 供应商的配置。在您提出问题或报告错误前，最好包含此消息来显示您的 LDAP 配置。最后，可以随意替换一些您不需要的配置更改，并附带一些占位符值。一个例子是 bindDn=some-placeholder。对于 connectionUrl，请随时替换它，但至少包含协议(ldap 和 ldaps)是非常有用的。同样，包含配置 LDAP 映射的详情（这些映射会在 DEBUG 级别显示）时很有用：

Mapper for provider: XXX, Mapper name: YYY, Provider: ZZZ ...

Mapper for provider: XXX, Mapper name: YYY, Provider: ZZZ ...

请注意，这些消息只会显示启用的 DEBUG 日志记录。

为跟踪性能或连接池问题，请考虑将 LDAP 提供商 的属性 Pool Debug Level 的值设置为 all。这将添加很多额外的信息，以便记录 LDAP 连接池包含的日志。这可用于跟踪与连接池或性能相关的问题。

如果即使服务器重启后没有更多消息用于连接池，这可能表示连接池无法用于您的 LDAP 服务器。

如需报告 LDAP 问题，您可能会考虑为目标数据附加部分 LDAP 树，这会导致您的环境出现问题。例如，如果某些用户登录时需要很多时间，您可以考虑附加显示各种"group"条目 的成员 属性计数的 LDAP 条目。在这种情况下，如果这些组条目映射到 Red Hat Single Sign-On 中的一些组 LDAP 映射（或角色 LDAP 映射程序），那么添加可能很有用。