LDAP аутентификация

Этот документ описывает, как настроить(установить) установление подлинности LDAP в Moodle. Вы можете найти Основной(Элементарный) Сценарий, где все является простым и прямым, и это должно быть достаточно для большинства сооружений. Если ваша установка немного больше, и Вы используете многократные серверы LDAP, или многократные местоположения (контексты) для ваших пользователей в вашем дереве LDAP, то взглянули на Передовые Сценарии.

Основной(Элементарный) Сценарий

Предположения

Ваш участок(сайт) Moodle расположен в http: // your.moodle.site/
Вы формировали вашу установку PHP с расширением(продлением) LDAP. Это загружено и активизировано, и это показывает, когда Вы идете в http: // your.moodle.site/admin/phpinfo.php (загружался как пользовательский 'admin').
Ваш сервер LDAP имеет 192.168.1.100 как его IP адрес.
Вы не используете LDAP с SSL (также известный как LDAPS) в ваших параметрах настройки(окружении). Это могло бы препятствовать определенным операциям(действиям) работать (например, Вы не можете обновить данные, если Вы используете MS Активный Справочник - MS нашей эры отсюда на-), но должен быть в порядке, если Вы только хотите подтвердить подлинность ваших пользователей.
Вы не хотите, чтобы ваши пользователи изменили их пароли в первый раз, когда они загружаются в Moodle.
Вы используете единственную(отдельную) область как источник ваших опознавательных данных в случае, если Вы используете MS нашей эры (больше на этом в Приложениях).
Вы используете главный(высший) уровень отличенное название(имя) (отличительное имя) dc=my, dc=organization, dc=domain как корень вашего дерева LDAP.
Вы имеете непривилегированный пользовательский счет LDAP, который Вы будете использовать, чтобы связать(обязать) с сервером LDAP. Это не необходимо с определенными серверами LDAP, но MS нашей эры требует этого, и не будет повреждено, если Вы будете использовать это, даже если ваш сервер LDAP не будет нуждаться в этом. Удостоверьтесь этот счет и его пароль не истекают, и делают этот пароль настолько сильным насколько возможно. Помните, что Вы только должны напечатать этот пароль однажды, формируя Moodle, так что не бойтесь делать это столь же трудно, чтобы предположить насколько возможно. Скажем, этот пользовательский счет имеет отличительное имя cn=ldap-user, dc=my, dc=organization, dc=domain, и пароль hardtoguesspassword.
Все ваши пользователи Moodle находятся в организационной единице (OU), названный(вызванный) moodleusers, который является правильным под вашим корнем LDAP. Это OU имеет отличительное имя ou=moodleusers, dc=my, dc=organization, dc=domain.
Вы не хотите, чтобы пароли ваших пользователей LDAP были сохранены в Moodle вообще.

Конфигурирование установление подлинности Moodle

Загрузитесь как admin пользователь и пойдите к Администрации>> Пользователи>> Установление подлинности. В снижении(капле) вниз Выбирает список, названный ", опознавательный метод" выбор "Использует Сервер LDAP". Вы получите страницу, подобную этому:

Файл:auth ldap config screenshot.jpg

Теперь, Вы только должны заполниться в ценностях. Пойдем шаг за шагом.

Полевое название(имя)	Ценность, чтобы заполнить
ldap_host_url	Поскольку IP вашего сервера LDAP - 192.168.1.100, печатать "ldap: // 192.168.1.100" (без кавычек(цитат)).
ldap_version	Если Вы не используете действительно старый сервер LDAP, версия 3 - тот, который Вы должны выбрать.
ldap_preventpassindb	Поскольку Вы не хотите хранить пароль пользователей в базе данных Мудл, выбирать Да здесь.
ldap_bind_dn	Это - выдающееся название(имя) связывающегося(обязывающегося) пользователя, определенного выше. Только напечатайте "cn=ldap-user, dc=my, dc=organization, dc=domain" (без кавычек(цитат)).
ldap_bind_pw	Это - связывающийся(обязывающийся) пользовательский пароль, определенный выше. Напечатайте "hardtoguesspassword" (без кавычек(цитат)).
ldap_user_type	Выберите: Новый Edirectory, если ваш сервер LDAP управляет eDdirectory Новелла. posixAccount (rfc2307), если ваш сервер LDAP управляет совместимым сервером LDAP RFC-2307 (выбирают это, - ваш сервер, управляет OpenLDAP). posixAccount (rfc2307bis), если ваш сервер LDAP управляет совместимым сервером LDAP RFC-2307bis. sambaSamAccount (v.3.0.7), если ваш сервер LDAP бежит(работает) с САМБОЙ 3.x, расширение(продление) схемы LDAP и Вы хотите использовать это. ActiveDirectory MS, если ваш сервер LDAP управляет Активным Справочником Microsoft (MS нашей эры)
ldap_contexts	Отличительное имя контекста (контейнер), где все ваши пользователи Мудл найдены. Тип ou=moodleusers, dc=my, dc=organization, dc=domain здесь.
ldap_search_sub	Если Вы имеете какие-нибудь sub организационные единицы (подконтексты), висящие от ou=moodleusers, dc=my, dc=organization, dc=domain, и Вы хотите, чтобы Мудл искал там также, устанавливал это в да. Иначе, набор это к нет.
ldap_opt_deref	Иногда ваш сервер LDAP скажет Вам, что реальная ценность, которую Вы ищете, находится фактически в другой части дерева LDAP (это называют псевдонимом). Если Вы хотите Мудл к 'dereference' псевдоним и приносите реальную ценность от оригинального(первоначального) местоположения, устанавливаете это в да. Если Вы не хотите Мудл к dereference это, установите это в нет. Если Вы используете MS нашей эры, установите это в нет.
ldap_user_attribute	Признак имел обыкновение называть/искать пользователей в вашем дереве LDAP. Этот выбор(опция) берет ценность по умолчанию, основанную на ценности ldap_user_type Вы choosed выше. Так, если Вы не нуждаетесь кое в чем специальном, Вы не должны заполнить это. Между прочим, это - обычно cn (Novell eDirectory и MS нашей эры) или uid (RFC-2037, RFC-2037bis и САМБА 3.x расширение(продление) LDAP), но если Вы используете MS нашей эры, Вы могли бы использовать sAMAccountName (название(имя) счета входа в систему предWindows 2000), если Вы нуждаетесь также.
ldap_memberattribute	Признак имел обыкновение перечислять(вносить в список) членов данной группы. Этот выбор(опция) берет ценность по умолчанию, основанную на ценности ldap_user_type Вы choosed выше. Так, если Вы не нуждаетесь кое в чем специальном, Вы не должны заполнить это. Между прочим, обычные ценности - член и memberUid.
ldap_objectclass	Тип объекта(цели) LDAP имел обыкновение искать пользователей. Этот выбор(опция) берет ценность по умолчанию, основанную на ценности ldap_user_type Вы choosed выше. Так, если Вы не нуждаетесь кое в чем специальном, Вы не должны заполнить это. Вот - ценности по умолчанию для каждой из ценностей ldap_user_type: Пользователь для Романа eDirectory posixAccount для RFC-2037 и RFC-2037bis sambaSamAccount для САМБЫ 3.0.x расширение(продление) LDAP пользователь для MS нашей эры
Пароль изменения(замены) силы	Набор это к Да, если Вы хотите вынудить ваших пользователей изменять их пароль на первом логине в Мудл. Иначе, набор это к нет. Примите во внимание пароль, который они вызваны(вынуждены) изменить - тот, сохраненный в вашем сервере LDAP. Поскольку Вы не хотите, чтобы ваши пользователи изменили их пароли в их первом логине, оставили этот набор к Нет
Используйте стандартную Страницу Пароля Изменения(Замены)	Урегулирование(Установка) этого к Да заставляет Мудл использовать свою собственную стандартную страницу изменения(замены) пароля, каждый раз пользователи хотят изменить их пароли. Урегулирование(Установка) этого к No не заставляет Мудл использовать страницу, определенную в области(поле), названной(вызванной) "URL пароля Изменения(Замены)" (у основания страницы конфигурации). Примите во внимание, что изменение(замена) ваших паролей LDAP от Мудл могло бы требовать связи LDAPS (это верно по крайней мере для MS нашей эры). Кроме того, закодируйте для того, чтобы изменить пароли от Мудл для чего - нибудь, но Novell eDirectory почти не проверен, таким образом это может или, возможно, не работать для других серверов LDAP.
ldap_expiration	Урегулирование(Установка) этого к No не сделает Мудл, чтобы не проверить, истек ли пароль пользователя или нет. Урегулирование(Установка) этого к LDAP сделает чек(проверку) Мудл, если пароль LDAP пользователя истек или не, и предупреждает за ее множество дней до того, как пароль истекает. Текущий кодекс(код) только имеет дело с Novell eDirectory LDAP сервер, но есть участок(заплата), плавающий вокруг, чтобы заставить это работать с MS нашей эры также (поиск на опознавательном форуме). Так, если Вы не имеете Novell eDirectory сервер (или используют участок(заплату)), выберите No здесь.
ldap_expiration_warning	Эта ценность устанавливает, сколько дней перед истечением пароля пользователь предупрежден, что ее пароль собирается истекать.
ldap_exprireattr	Пользовательский признак LDAP имел обыкновение проверять истечение пароля. Этот выбор(опция) берет ценность по умолчанию, основанную на ценности ldap_user_type Вы choosed выше. Так, если Вы не нуждаетесь кое в чем специальном, Вы не должны заполнить это.
ldap_gracelogins	Это урегулирование(установка) является определенным для Novell eDirectory. Если установлено в Да, позволите LDAP gracelogin поддержка. После того, как пароль истек, пользователь может, логин до gracelogin счет - 0. Так, если Вы не имеете Novell eDirectory сервер и хотите позволить поддержку gracelogin, выбрать No здесь.
ldap_graceattr	Это урегулирование(установка) в настоящее время не используется в кодексе(коде) (и является определенным для Novell eDirectory). Таким образом Вы не должны заполнить это.
ldap_create_context
ldap_creators	Отличительное имя группы, которая содержит всех ваших создателей Мудл. Это - типично posixGroup с признаком "memberUid" для каждого пользователя, Вы хотите быть создателем. Если вашу группу называют создателями, типом cn=creators, ou=moodleusers, dc=my, dc=organization, dc=domain здесь. Каждый признак memberUid содержит компьютерную сеть пользователя, который уполномочен быть создателем. Не используйте полное отличительное имя пользователя (например, не memberUid: cn=JoeTeacher, ou=moodleusers, dc-my, dc=organizations, dc=domain, а скорее memberUid: JoeTeacher). В eDirectory, objectClass для группы - (по умолчанию) не posixGroup, но groupOfNames, признак члена которого - член, не memberUid, и чья ценность - полное отличительное имя рассматриваемого пользователя. Хотя Вы можете вероятно изменить кодекс(код) Мудл, чтобы использовать эту область(поле), лучшее решение состоит в том, чтобы только добавить новый признак objectClass posixGroup к вашей группе создателей и поместить компьютерные сети для каждого создателя в признаке memberUid. В MS Активный Справочник, Вы будете должны создать группу безопасности для ваших создателей, чтобы быть частью и затем добавлять их всех. Если ваш ldap контекст выше - 'ou=staff, dc=my, dc=org' тогда, ваша группа должна тогда быть 'cn=creators, ou=staff, dc=my, dc=org'. Если некоторые из пользователей - от других контекстов и были добавлены к той же самой группе безопасности, Вы должны будете добавить их как отдельные контексты после первого, используя тот же самый формат.
Имя	Название(Имя) признака, который держит(проводит) имя ваших пользователей в вашем сервере LDAP. Это - обычно givenName. Это урегулирование(установка) является дополнительным
Фамилия	Название(Имя) признака, который держит(проводит) фамилию ваших пользователей в вашем сервере LDAP. Это - обычно sn. Это урегулирование(установка) является дополнительным
Адрес электронной почты	Название(Имя) признака, который держит(проводит) адрес электронной почты ваших пользователей в вашем сервере LDAP. Это - обычно почта. Это урегулирование(установка) является дополнительным
Телефон 1	Название(Имя) признака, который держит(проводит) номер телефона ваших пользователей в вашем сервере LDAP. Это - обычно telephoneNumber. Это урегулирование(установка) является дополнительным
Телефон 2	Название(Имя) признака, который держит(проводит) дополнительный номер телефона ваших пользователей в вашем сервере LDAP. Это может быть homePhone, мобильным телефоном, пейджером, facsimileTelephoneNumber или даже другие. Это урегулирование(установка) является дополнительным
Отдел	Название(Имя) признака, который держит(проводит) название(имя) отдела ваших пользователей в вашем сервере LDAP. Это - usully departmentNumber (для posixAccount и возможно eDirectory) или отдела (для MS нашей эры). Это урегулирование(установка) является дополнительным
Адрес	Название(Имя) признака, который держит(проводит) уличный адрес ваших пользователей в вашем сервере LDAP. Это - usully streetAddress или улица'. Это урегулирование(установка) является дополнительным
Город/город	Название(Имя) признака, который держит(проводит) город/город ваших пользователей в вашем сервере LDAP. Это - usully l (строчные буквы L) или localityName (не действительный в MS нашей эры). Это урегулирование(установка) является дополнительным
Страна	Название(Имя) признака, который держит(проводит) couuntry ваших пользователей в вашем сервере LDAP. Это - usully cили countryName (не действительный в MS нашей эры). Это урегулирование(установка) является дополнительным
Описание	описание Это урегулирование(установка) является дополнительным
Удостоверение личности Число(Номер)	Это урегулирование(установка) является дополнительным
Язык	preferredLanguage Это урегулирование(установка) является дополнительным
Инструкции

Остальная часть областей(полей) обычна ко всем опознавательным методам и не будет обсуждена здесь.

Активная Директивная Помощь Поиска неисправностей(Улаживания конфликтов)

Предупреждение: PHP LDAP модуль, кажется, не присутствует. Пожалуйста гарантируйте, что это установлено и позволено.

Это обычно означает, что главные ldap dll или одна из поддержки dlls отсутствуют. Давайте начало с главным непосредственно. Используйте "Файл Конфигурации (php.ini) Дорожка" область(поле) на http: // (moodleserver)/admin/phpinfo.php, чтобы определить, какой php.ini используется и открытый это. Найдите линию 'extension=php_ldap.dll' и выньте точку с запятой, если это - там. Та точка с запятой остановит это загружающий модуль все вместе! В то время как Вы имеете тот открытый файл, ищете 'extension_dir' и примечание, какая папка это собирается. Открытый, который папка и гарантирует, php_ldap.dll файл находится в там. Если это тогда не вставлено в это там. Если это все еще не устанавливало это, Вы пропускаете поддержку dll, но Вы не добираетесь, сказал это. Видеть, какие dlls пропускают открытый Команду Propmt и проводят к php справочнику и выполняют следующую линию 'php-m'. Вы должны получить некоторые ошибочные сообщения теперь. Уродливый, но по крайней мере они дают Вам информацию! Найдите dlls перечисленным(внесенным в список) и скопируйте их к php справочнику. Управляемый 'php-m' снова и Вы должны быть свободной ошибкой, и сообщение в Мудл должно уйти теперь.

LDAP-модуль не может соединить(подключить) никаких серверов LDAP : Сервер: 'ldap: // my.ldap.server/' Связь: 'Ресурс id *26' Связывает(Обязывает) результат: ' '

Получение этого сообщения, когда Вы пробуете загрузиться, - результат неправильных деталей для Связывающегося(Обязывающегося) пользователя, или пользовательского счета, имеющего недостаточные разрешения в Активном Справочнике. Лучший способ проверять и решать это - использование ldp.exe, чтобы не проверить закрепление пока это suceeds. Есть инструкции при монтаже ldp.exe ниже. Откройте программу и Соединитесь с нашей эры, давая название(имя) сервера, затем от меню Связи выбирают, Связывают(Обязывают). Войдите в детали, Вы думаете, правильны, и Вы вероятно найдете, что ошибка возвращена. Пробуйте регулировать(приспосабливать) счета priveleges или другой счет, пока Вы не возвращены "Заверенный как" сообщение. Как только Вы уверены, что ваш счет может использоваться, чтобы связать(обязать) с нашей эры, проверить что, отличительное имя которого название(имя) пользователей правильно. Расширите дерево слева, пока Вы не находите пользователя, которого Вы имели обыкновение связывать(обязывать). Право нажимает на тот пункт(изделие) и выбирает отличительное имя Копии. Пойдите в Пользовательскую Опознавательную страницу в Мудл и приклейте ценность в ldap_bind_dn область(поле). Добавьте пароль, и Вы можете теперь чувствовать себя безопасными, ваш пользователь связывает(обязывает) sucessfully.

Получение правильных компьютерных сетей для Контекстов и Создателей

Для не знакомые с нашей эры это могло быть очень запутывающим, и не, что легкий для некоторых, кто знаком с этим. Снова, ldp.exe - ваш друг. Есть инструкции при монтаже ldp.exe ниже. Откройте это и расширите дерево слева, пока Вы не находите группу или пользователя, которого Вы хотите использовать, и право нажимают на это и выбирают отличительное имя Копии. Возвратитесь Пользователю Мудл Опознавательная страница и паста, которые оценивают или в ldap_contexts или в ldap_creators.

Получение права user_attribute

По умолчанию, Мудл использует счета cn (полное название(имя)), чтобы проверить(подтвердить) против, но большинство сетей не использует полное данное название(имя) для входа в систему, поскольку слишком легко предположить, и Вы можете легко иметь двух человек с тем же самым названием(именем). Если дело обстоит так для Вас также Вы должны сказать Мудл смотреть на другую область(поле) для входа в систему id. В ldp.exe проводят дерево слева, чтобы найти пользовательский счет, предпочтительно ваше собственное. Щелкните два раза пунктом(изделием) в дереве, и полные детали будут загружены в экран справа. Выглядите вниз детали, пока Вы не находите ваш вход в систему id и отмечаете пункт(изделие), перечисленный(внесенный в список) против этого. Для меня, и большого количества людей, это - sAMAccountName. Скопируйте это название(имя) и приклейте это в ldap_user_attribute на Пользователе Мудл Опознавательная страница. Есть инструкции при монтаже ldp.exe ниже.

Монтаж ldp.exe Инструмент Сервера

ldp.exe прибывает как часть Инструментов Сервера на большинстве версий Сервера Windows. Найдите ваш диск установки Сервера Windows и найдите, что папка на этом назвала(вызвала) Support\Tools. В будет SupTools.msi, который установит инструменты сервера если управляется. Вы должны теперь иметь папку под Файлами Программы по имени Инструменты Поддержки, в которых будет ldp.exe. ldp.exe, также доступно в Windows Инструменты Поддержки XP, которые Вы можете загрузить от Microsoft здесь. Альтернативно, единственная(отдельная) загрузка ldp.exe доступна здесь. here

Пример Активная Директивная Конфигурация

Ниже - конфигурация примера для Активного Справочника. Как детализировано выше, ценности могут измениться основанный на вашей местной Активной Директивной конфигурации, но должны обеспечить хорошую отправную точку для большинства случаев.

ldap_host_url = ldap: // ads.example.com ldap_version = 3 ldap_preventpassindb = да ldap_bind_dn = bind-user@example.com ldap_bind_pw = свя-пароль ldap_user_type = MS ActiveDirectory ldap_contexts = ou=moodleusers, dc=example, dc=com ldap_user_attribute = sAMAccountName

Передовые Сценарии

Используя многократные Серверы LDAP

Вход в больше чем одно название(имя) в ldap_host_url области(поле) может обеспечить своего рода упругость к вашей системе. Просто используйте синтаксис : ldap: // my.first.server ; ldap: // my.second.server ; ...

Конечно, это будет только работать, если все серверы разделят ту же самую директивную информацию, используя ответ или синхронизацию mecanism когда-то введенный в eDirectory и теперь обобщенный к главным LDAP-совместимым справочникам.

Есть один недостаток(препятствие) в Мудл 1.5 - 1.6 выполнения установления подлинности LDAP : auth_ldap_connect () функция обрабатывает серверы последовательно, не в способе коллективного письма. Таким образом, если первичный сервер терпит неудачу, Вы должны будете ждать связи со временем перед переключением к следующему.

Используя многократные пользовательские местоположения (контексты) в вашем дереве LDAP

Нет никакой потребности использовать многократные пользовательские местоположения, если ваше директивное дерево является плоским, то есть если все пользовательские счета проживают в ou=people, dc=my, dc=organization, dc=domain или ou=people, o=myorg контейнер.

В противоположности, если Вы используете ACL mecanism, чтобы делегировать пользовательское управление, есть возможности, что ваши пользователи будут сохранены в контейнерах как ou=students, ou=dept1, o=myorg и ou=students, ou=dept2, o=myorg ...

Тогда есть альтернатива :

Cмотрите на o=myorg уровень с набором признака ldap_search_sub к да.
Установите ldap_context в ou=students, ou=dept1, o=myorg ; ou=students, ou=dept2, o=myorg.

Выбор между этими двумя решениями предполагает своего рода эталонное тестирование, поскольку результат зависит тяжело(в большой степени) от структуры вашего директивного дерева и на вашем программном обеспечении LDAP, вносящем способности в указатель. Просто отметьте, что есть вероятность в таких глубоких деревьях, что два пользователя разделяют то же самое общее(обычное) название(имя) (cn), имея различные(другие) выдающиеся названия(имена). Тогда только второе решение будет иметь детерминированный результат (возвращающийся allways тем же самым пользователем).

Используя LDAPS (LDAP + SSL)

MS Активный Справочник + SSL

Если Власть(Полномочие) Свидетельства не установлена, Вы должны будете установить это сначала следующим образом:

Щелкните Началом-> Пульт управления-> Добавляет или Удаляет программы.
Щелчок Добавляет/Удаляет Компоненты Windows и выбирает Услуги Свидетельства.
Следуйте за процедурой, обеспеченной, чтобы установить Власть(Полномочие) Свидетельства. Уровень предприятия - хороший выбор.

Проверите(Подтвердите), что SSL позволился на сервере, устанавливая suptools.msi от \Support\tools справочника CD установки Windows. После установки инструментов поддержки:

Выберите Начало-> Пробег, напишите ldp в области(поле) Open.
От ldp Связи выбора окна-> Соединяют(Подключают) и поставляют действительный hostname и порт, номер 636. Также выберите коробку чека(проверки) SSL.

В случае успеха, Вы должны получить информацию о связи.

Следующий шаг должен сказать расширению(продлению) PHP OpenLDAP повреждать проверку свидетельства SSL. На серверах Windows Вы наиболее вероятно используете предсобранную версию PHP, где Вы должны создать дорожку C:\OpenLDAP\sysconf. В этой дорожке создают файл, названный(вызванный) "ldap.conf" с содержанием:

TLS_REQCERT никогда.

Теперь Вы должны быть в состоянии использовать ldaps: //, соединяясь с MS нашей эры.

Приложения

Детские Области и Глобальный Каталог в MS Активный Справочник

Мудл в настоящее время только ограничил поддержку многократным диспетчерам области; определенно это ожидает каждый из серверов LDAP, перечисленных(внесенных в список), чтобы содержать идентичные наборы информации. Если Вы имеете пользователей в многократных областях, это представляет проблему(выпуск). Одно решение, когда работа с MS нашей эры должна использовать Глобальный Каталог. Глобальный Каталог разработан(предназначен), чтобы быть частичным представлением только для чтения всего леса MS нашей эры, разработанного(предназначенного) чтобы искать весь справочник, когда область необходимого объекта(цели) не известна.

Например ваша организация имеет главную область example.org, штат и студенты содержатся в двух детских областях staff.example.org и students.example.org. Эти 3 области (example.org, staff.example.org и students.example.org) каждый имеет диспетчера области (dc01, dc02 и dc03 соответственно.) Каждый диспетчер области содержит полное, перезаписываемый, представление только объектов(целей), которые принадлежат его области. Однако, предполагая, что Глобальный Каталог позволился (см. ниже) на одном из диспетчеров области (например dc01) вопрос Глобальному Каталогу показал бы соответствие объектам(целям) от всех трех областей. Глобальный Каталог автоматически поддержан(обслужен) через ответ поперек активного директивного леса, это можно также позволить на многократных серверах (если, например, Вы нуждаетесь в избыточности / балансирование груза.)

Использовать это в Мудл, чтобы позволить логины от многократных областей просто. Глобальный Каталог бежит(работает) на порту 3268 в противоположность 389 для стандартных вопросов LDAP. В результате все еще принятие(предположение) Глобального Каталога бежит(работает) на dc01, 'ldap_host_url' был бы ldap: // dc01.example.org:3268. Остальная часть параметров настройки(окружения) - то же самое что касается других установок Автора MS КАК.

Вы должны использовать урегулирование(установку) 'ldap_contexts', чтобы указать местоположения людей, которых Вы желаете предоставить доступу. Расширять(продлевать) пример выше немного: В example.org области пользователи - все в 'Пользователях', OU, в staff.example.org пользователях области находятся в двух OUs в корне области, 'Штат Поддержки' и 'Преподавательский состав' , и в students.example.org студентах области находится в OU указание года, который они зарегистрировали, все из которых находятся под 'Студентами' OU. В результате наше урегулирование(установка) 'ldap_contexts' может немного походить на это: 'OU=Users, DC=example, DC=org; Штат OU=Support, DC=staff, DC=example, DC=org; Штат OU=Teaching, DC=staff, DC=example, DC=org; OU=Students, DC=students, DC=example, DC=org.' 'Ldap_search_sub' выбор(опция) должен собираться 'Да', чтобы позволить moodle искать в пределах ребенка OUs.

Его ценность, отмечающая, что Глобальный Каталог только содержит частичное представление признаков каждого объекта(цели), как определено в Частичном Наборе Признака, поставляемом Microsoft. Однако общая(обычная) информация вероятно, чтобы быть полезный к установке генерала Мудл (Имя, Фамилия, Адрес электронной почты, sAMAccountName и т.д) включена в набор. Для определенных потребностей схема может быть изменена, чтобы удалить или добавить различные признаки.

В большинстве случаев Глобальный Каталог только для чтения, вопросы обновления должны быть сделаны по стандартным портам LDAP диспетчеру области, который считает объект(цель) рассматриваемым (в нашем примере, обновляя детали студента требовал бы вопроса LDAP students.example.org диспетчеру области - dc03, не будет возможно обновить детали, подвергая сомнению Глобальный Каталог.) исключение к этому было бы в окружающей среде, где есть только единственная(отдельная) область в активном директивном лесу; в этом случае Глобальный Каталог держит(проводит) перезаписываемый полный набор признаков для каждого объекта(цели) в области. Однако, в целях разрешения Мудл, нет никакой потребности использовать Глобальный Каталог в этом случае.

Предоставление возможности Глобального Каталога

Глобальный Каталог доступен на Windows 2000 и Windows 2003 Активные Директивные серверы. Позволять, открыть ‘Активные Директивные Участки(Сайты) и MMC Услуг (Пульт Управления Microsoft) хватка - в. Расширьте(продлите) ‘Участки(Сайты) и затем название(имя) Участка(Сайта), содержащего активный директивный лес, который Вы желаете использовать. Расширите сервер, который Вы желаете позволить Глобальному Каталогу по, правильный щелчок ‘параметры настройки(окружение) NTDS и выбрать счет ‘Свойств. Позволять, просто щелкать ‘Глобальным Каталогом’ checkbox. Под сервером Windows 2000 необходимо повторно начать сервер (хотя это не будет побуждать Вас к); под сервером Windows 2003 не необходимо повторно начать сервер. В любом случае Вы вообще должны будете ждать нашей эры лес, чтобы копировать прежде, чем Глобальный Каталог предлагает представление всего нашей эры лес. Изменения(замены), сделанные в Активном Справочнике также будут подчинены короткой задержке из-за времени ожидания, связанного с ответом. Если ваш нашей эры серверы будут firewalled портом 3268, то будет должный быть открыты для Глобальных серверов Каталога. Если ваша организация использует Обмен Microsoft тогда это его очень вероятное, что по крайней мере одному Диспетчеру Области уже позволят Глобальный Каталог – Обмен, 2000 и 2003 полагаются на Глобальный Каталог для информации адреса, пользователи также получают доступ к Глобальному Каталогу, используя ДЕВОЧКУ (Глобальный Список Адреса)

ldap auth_user_create () только suports Novell

После конфигурирования пользовательского установления подлинности с ldap я понял, что ldap только поддерживают edir (Novell), комбинируя(объединяя) ldap пользовательское подтверждение электронной почты. Например в моем случае (я использую openldap) я имею следующую ошибку после заполнения пользовательской формы:

автор: ldap auth_user_create () не поддерживает отобранный usertype: "rfc2307" (.. все же)

См. также

Используя Мудл: Пользовательский опознавательный форум
Используя Мудл PHP LDAP модуль, кажется, не существующее обсуждение форума
Набор LDAP

Documentation