OpenProject系统管理指南：LDAP连接配置详解

OpenProject系统管理指南：LDAP连接配置详解

openproject OpenProject is the leading open source project management software. 项目地址: https://gitcode.com/gh_mirrors/op/openproject

概述

在企业级项目管理工具OpenProject中，LDAP（轻量级目录访问协议）认证是一项关键功能，它允许系统管理员将OpenProject与现有的企业目录服务（如Microsoft Active Directory或openLDAP）集成。本文将全面介绍如何在OpenProject中配置和管理LDAP连接。

前提条件

要配置LDAP认证，您需要具备：

• OpenProject系统管理员权限
• LDAP服务器的访问信息（主机名、端口、系统账户等）
• 基本的LDAP协议知识

LDAP连接管理界面

在OpenProject管理后台中，可通过以下路径访问LDAP配置：

1. 进入"管理"面板
2. 选择"认证"选项
3. 点击"LDAP连接"

这里会显示所有已配置的LDAP连接列表。

创建新的LDAP连接

连接详情与安全设置

在创建新连接时，首先需要配置基础连接信息：

• 名称：用于标识此认证源的友好名称（如"公司AD"）
• 主机：LDAP服务器的完整主机名
• 端口：通常为389（LDAP/StartTLS）或636（LDAPS）
• 连接加密：有三种选项：
  • STARTTLS（推荐）：先建立非加密连接，然后升级为TLS加密
  • LDAPS：直接使用SSL加密连接（较旧服务器可能仅支持此方式）
  • 无：不加密连接（不推荐生产环境使用）

对于加密连接，还需配置：

• 验证SSL证书：建议生产环境启用
• LDAP服务器SSL证书：可上传PEM格式的证书链

系统账户凭证

需要提供一个具有只读权限的LDAP系统账户，用于用户查找和同步：

• 账户：完整的DN（识别名）
• 密码：该账户的绑定密码

LDAP详细信息

配置LDAP搜索范围和用户创建策略：

• Base DN：搜索用户和组的起点
• 过滤字符串：可选的RFC4515过滤条件
• 自动用户创建：启用后，首次登录的用户会自动创建

过滤示例

(memberof=CN=OpenProject,OU=Rollen,OU=Gruppen,DC=intern)

属性映射

将LDAP属性映射到OpenProject用户字段：

• 登录名（必需）：通常是"uid"
• 名字：通常映射到"givenName"
• 姓氏：通常映射到"sn"
• 邮箱：通常映射到"mail"
• 管理员：指定赋予管理员权限的条件属性

测试与保存

配置完成后，点击"创建"保存设置，然后可以使用"测试"按钮验证连接是否正常。

高级配置

多LDAP连接支持

OpenProject支持配置多个LDAP源，但需确保：

• 各连接中的登录名和邮箱属性值唯一
• 用户首次登录后，其认证源会被记录

通过环境变量配置

对于自动化部署，可以通过环境变量或配置文件预定义LDAP连接，具体参考高级配置指南。

用户同步机制

默认情况下，OpenProject会：

• 每24小时同步一次用户信息
• 可选启用状态同步（根据LDAP中的存在性锁定/解锁账户）
• 可通过配置禁用同步任务

最佳实践建议

1. 生产环境务必使用加密连接（STARTTLS或LDAPS）
2. 为系统账户分配最小必要权限
3. 合理设置Base DN和过滤条件以提高性能
4. 测试环境先验证配置再应用到生产
5. 定期检查同步日志确保数据一致性

通过以上配置，企业可以无缝地将OpenProject集成到现有的身份认证体系中，实现统一身份管理。

openproject OpenProject is the leading open source project management software. 项目地址: https://gitcode.com/gh_mirrors/op/openproject