LDAP 服务器身份验证

您可以配置 Service Desk 和 Asset Manager 以对 LDAP 服务器的目录服务用户进行身份验证（使用域密码），而非使用 Service Desk 或 Asset Manager 用户密码。这与使用集成登录不同，并且不能与集成登录搭配使用，但仍能对用户帐户进行独立于 Service Desk 或 Asset Manager 的维护，并使用户能够使用单一的密码。提供的用户名用于从“用户网络登录”值中查找外部用户名。之后，“网络登录”值和提供的密码将用于对照配置中所指定的目录服务对象进行身份验证。

SA 始终使用标准的显式登录来登入，即绕过 LDAP 身份验证。

Workspaces 不支持 LDAP 身份验证。

在通过 LDAP 服务器身份验证之前，需要使用 Ivanti 控制台的管理组件来将网络登录添加到用户，并使用 LDAP 独特名称来填充它们：

• 如果使用 eDirectory 进行身份验证：
  CN=name，O=organization
  
• 如果使用活动目录进行身份验证：
  CN=user.name，CN=users，DC=domain，DC=com

您可以为 Active Directory 或 eDirectory 设置 LDAP 服务器身份验证，并且可选择使用明文端口（默认为 389）或 SSL/TLS 端口（默认为 636）。

要设置活动目录的 LDAP 服务器身份验证：

1. 在 Ivanti Web 服务器上，在文件夹 C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework 和 C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess（其中 servicedesk 为实例名称）中，更新 DirectoryServiceAuthentifictionConfiguration.xml 中的 <ServerObject> 值，将其指向 LDAP 服务器（包括适当的端口号）。

例如：

<ServerObject>LDAP://servername:389/cn=users,dc=company,dc=com</ServerObject>

在服务器名称后面加上 SSL 端口。明文端口的默认值为 389，SSL 端口的默认值为 636。

2. 在 DirectoryServiceAuthentifictionConfiguration.xml 的两个副本中，更新 <AuthenticationType>。如果使用明文端口，将该值设置 None；如果使用 SSL 端口，将其设置为 Secure。例如，如果使用 SSL 端口，可输入：

<AuthenticationType>Secure</AuthenticationType>

3. 对于 ..ProgramData\LANDesk\ServiceDesk\servicedesk.Framework\tps.config 和 ..ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess\tps.config，添加行：

<add key="AuthenticationProvider" value="Touchpaper.Integrations.LDAPLogon.DirectoryServiceAuthenticationProvider" />

4. 在 Ivanti 配置中心中，打开所需的实例。
5. 在 Service Desk Framework 应用程序旁边，单击编辑。
   出现 Service Desk Framework 的“编辑应用程序”对话框。
6. 在配置参数组中，在登录策略列表里选择仅显式，然后单击确定。
7. 在 Web Access 应用程序旁边，单击编辑。
   出现 Web Access 的“编辑应用程序”对话框。
8. 在配置参数组中，在登录策略列表里选择仅显式，然后单击确定。

登录时，您使用相关联的域用户网络密码。

要设置 eDirectory 的 LDAP 服务器身份验证：

1. 在您的 Ivanti Web 服务器上，在文件夹 C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework 和 C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess（其中 servicedesk 为实例名称）中，用文本编辑器打开 OpenLDAPAuthentifictionConfiguration.xml 或 OpenLDAPSSLAuthentifictionConfiguration.xml。
2. 将 <Server> 值更新为 LDAP 服务器的 IP 地址。
3. 将 <Port> 值更新为相关端口（明文端口默认值为 389，SSL/TLS 端口默认值为 636）。
4. 将 <TestDN> 值设置为一个所有用户都可以读取的 eDirectory 对象。这用于验证使用提供的凭据能否读取该对象。（例如，o=testdomain）
5. 对于 ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config 和 ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config，添加行：

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />

或者行：

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />

6. 在 Ivanti 配置中心中，打开所需的实例。
7. 在 Service Desk Framework 应用程序旁边，单击编辑。
   出现 Service Desk Framework 的“编辑应用程序”对话框。
8. 在配置参数组中，在登录策略列表里选择仅显式，然后单击确定。
9. 在 Web Access 应用程序旁边，单击编辑。
   出现 Web Access 的“编辑应用程序”对话框。
10. 在配置参数组中，在登录策略列表里选择仅显式，然后单击确定。

登录时，您使用相关联的域用户网络密码。

LDAP 服务器身份验证的异常记录

如果您在配置 LDAP 服务器身份验证时遇到问题，可以启用异常记录来帮助您识别问题。默认情况下，该功能被禁用，我们建议您在调查完成之后重新禁用异常记录。

要启用 LDAP 服务器身份验证的异常记录：

1. 用文本编辑器打开相应的身份验证配置 XML 文件。
   即 DirectoryServiceAuthentifictionConfiguration.xml、OpenLDAPAuthentifictionConfiguration.xml 或 OpenLDAPSSLAuthentifictionConfiguration.xml。
2. 将行：
   <ShowExceptions>false</ShowExceptions>
   更改为
   <ShowExceptions>true</ShowExceptions>
   并保存更改。