liferay通过ldap同步用户([用户组])设置(二)

转自:http://blog.sina.com.cn/s/blog_472b9eb20100ni26.html

 

Import & Export

import(liferay4.2后可用):

liferay能够周期性检查ldap server然后添加新增用户到 portal 数据库,如下:

  • 查找新增用户,增加它们到portal并copy影射属性信息
  • 同步ldap server已存在用户所作的修改到portal
  • 通过groups的属性配置侦查uers成员,ldap 的groups影射到protal的user groups 如果portal不存在就会被创建

这个功能是高度可配置的,可以通过ldap搜索过滤器的配置限制那些用户会被导入,以及通过影射确定导入那些字段信息到portal。

ldap.import.enabled=true
ldap.import.on.startup=true
ldap.import.interval=10
ldap.import.method=user (or group)

liferay可以应用的3个不同时期导入用户或用户组:

  • 单用户在登录的时候被导入
1.如果设置了ldap的认证,当用户使用ldap的安全证书登录就被导入
2.ldap user第一次登录到liferay会导入影射属性值
3.其后所有字段的修改就会同步ldap到portal(4.3.3后)
  • 在启动的时候批量导入(可选)
  • 设置时间间隔批量倒入(可选)
  • Export (Liferay Portal 4.3后可用):

    配置:

        ap.import.enabled=true
        ldap.import.interval=10 (根据这个数字确定导出时间间隔,依据配置的搜索过滤器导出到ldap)
        ldap.import.on.startup=true
        ldap.import.method=group #用户导入:liferay将search 和import user 用户组导入:liferay查询所有用户组导入所有用户组的用户,但是有个弊端就是所有用户如果不在同一个ldap group将不会被导入,解释:

    • 在导入的一个特定时间间隔,liferay将扫描LDAP服务器和导入用户。由于LDAP服务器维持group成员不同( 2种方式,经用户和group) ,你可以指定哪些方法,import你的用户。
    • LDAP服务器有可能会为用户实体增加属性(最常见的groupmembership属性) ,指定用户是那个group
    • LDAP服务器有可能会为group增加属性(最常见的uniquemember属性) ,指定小组成员
    • 4.2之前,只能导入user
    • 4.3.1 liferay有了ldap.import.method 属性,有两种追踪方式

        ldap.export.enabled=false #如果设置为true就以为这liferay将导出用户到ldap。liferay使用监听追踪user的修改并在用户被修改的时候推动用户修改到ldap server

        ldap.users.dn=ou=People,dc=localdomain#查询user的目录
        ldap.groups.dn=ou=Groups,dc=localdomain#查询组目录

    ldap.user.default.object.classes=top,person,inetOrgPerson,organizationalPerson用户被导出的时候创建用户的默认对象classes,可以使用ldap浏览器查看这个objectclass

    1.如何导入:导入用的时liferay会根据搜索filter 查询所有实体ldap.import.user.search.filter= (objectClass=inetOrgPerson)导入用户组:ldap.import.group.search.filter=(objectClass=groupOfUniqueNames).

    2.导入的用户会太多:可以使用目录限定你要导入的用户设置ldap.users.dn=ou=users,dc=example,dc=com dap.groups.dn=ou=groups,dc=example,dc=com只有指定目录下的被导入

    3.是否某些属性必须导入:5个screen name (cn), password (userPassword), email address (mail), first (givenName) and and last name (sn).

    4.哪一个导入方法被使用:在做批量导入的时候这个方法必须作处理ldap.import.method=groupldap.import.method=user如果导入组的方式,那么会查询和导入组和成员,但如果不输入任何ldap group就不会被导入,相反导入用户的方式也不会导入任何ldap group下成员

    5.如果删除ldap的用户,那么也会从liferay删除吗?:通常liferay只导入新user,删除最好使用liferay操作

    6。在导入间隔期间做什么:同步ldap和liferay的用户和组及组的成员

    7.liferay限制导出到ldap的纪录属性(screenName, password, emailAddress, firstName and lastName).

    8不支持导出group到ldap

你可能感兴趣的:(liferay通过ldap同步用户([用户组])设置(二))