認證設定

認證設定

目前未啟用認證

所有人都可以使用本系統。如果你打算給多人使用、或部署在內網，建議啟用認證。

啟用後會引導你建立第一個管理員帳號，避免之後無法登入。

請先點上方「啟用認證」、設好管理員密碼後，再回來設定 LDAP / AD backend 與連線測試。
啟用後可選 backend：本機（最簡單，所有帳號存在這台機器）、LDAP / AD（接外部目錄）。

選擇驗證使用者的 backend。切換會讓所有現有 session 立刻失效。 啟用外部目錄後，登入頁的「認證領域」下拉仍會保留本機選項，jtdt-admin 等本機帳號不會被鎖外。

Backend 模式

本機帳號 Local LDAP OpenLDAP / UCS / FreeIPA Active Directory Microsoft AD / Samba AD

連線

伺服器 URL

建議使用 ldaps:// + 驗證憑證。

使用 TLS 驗證伺服器憑證

Service Account DN

Service Account 密碼

搜尋

使用者搜尋 base DN

必須是純 DN，不能含 ( )。要限制群組請寫到下方 filter。

使用者搜尋 filter

{username} 會被代入登入帳號。

📖 AD filter 範例與語法 📖 LDAP / UCS / FreeIPA filter 範例與語法

{username} 會被換成登入帳號（系統自動 escape）。filter 比對到剛好一筆 entry 才會做密碼 bind。

最常用	`(sAMAccountName={username})`
UPN 登入	`(userPrincipalName={username})`
email 登入	`(mail={username})`
兩種都接受	`(\|(sAMAccountName={username})(userPrincipalName={username}))`
排除 disabled	`(&(sAMAccountName={username})(!(userAccountControl:1.2.840.113556.1.4.803:=2)))`
限定群組	`(&(sAMAccountName={username})(memberOf=CN=JTDT_Users,CN=Users,DC=example,DC=com))`
限定群組（巢狀）	`(&(sAMAccountName={username})(memberOf:1.2.840.113556.1.4.1941:=CN=JTDT_Users,...))`
最常用	`(uid={username})`
email 登入	`(mail={username})`
兩種都接受	`(\|(uid={username})(mail={username}))`
限定 person	`(&(uid={username})(objectClass=inetOrgPerson))`
限定群組（UCS）	`(&(uid={username})(memberOf=cn=JTDT_Users,cn=groups,dc=example,dc=com))`
限定 posixGroup	`(&(uid={username})(gidNumber=5050))`

多條件：& AND / | OR / ! NOT，每條件都用 (…) 包。

屬性對應

username 屬性

AD：通常 sAMAccountName LDAP：通常 uid

顯示名稱屬性

AD：displayName LDAP：displayName 或 cn

群組屬性

memberOf（user 屬性，列出所屬群組）
⚠ 不是 member（那是群組物件上的屬性）

用上方表單目前的設定測試（不會自動儲存）。Service 密碼留空時走已儲存的密碼。

驗證伺服器 URL / TLS / Service Account bind。

用真實帳號驗證 filter / base DN / 密碼 bind；不寫 DB、不建 session。

測試帳號測試密碼