LibreChatLDAP/AD
Erfahren Sie, wie Sie LibreChat für die Benutzerauthentifizierung mit LDAP konfigurieren.
Sie können einen Lightweight Directory Access Protocol (LDAP)-Authentifizierungsserver verwenden, um Benutzer zu authentifizieren.
LDAP/AD Server Konfiguration
Grundlegende Konfiguration
LDAP_URLundLDAP_USER_SEARCH_BASEsind erforderlich.LDAP_SEARCH_FILTERist optional; falls nicht angegeben, wird standardmäßig das Attributmailverwendet. Falls angegeben, verwenden Sie das Literal{{username}}, um den angegebenen Benutzernamen für die Suche zu nutzen.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_URL | string | LDAP-Server-URL. | LDAP_URL=ldap://localhost:389 |
| LDAP_BIND_DN | string | Bind-DN | LDAP_BIND_DN=cn=root |
| LDAP_BIND_CREDENTIALS | string | Passwort für bindDN | LDAP_BIND_CREDENTIALS=password |
| LDAP_USER_SEARCH_BASE | string | LDAP-Benutzersuchbasis | LDAP_USER_SEARCH_BASE=o=users,o=example.com |
| LDAP_SEARCH_FILTER | string | LDAP-Suchfilter | LDAP_SEARCH_FILTER=mail={{username}} |
Feldzuordnungen
Sie können eine Zuordnung zwischen den Attributen von LibreChat-Benutzern und denen von LDAP-Benutzern festlegen. Verwenden Sie diese Einstellungen, falls die Standardzuordnungen nicht ordnungsgemäß funktionieren.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_ID | string | Geben Sie eine eindeutige Benutzer-ID an. Standardmäßig werden uid oder sAMAccountName, mail verwendet. | LDAP_ID=uid |
| LDAP_USERNAME | string | Standardmäßig werden givenName oder mail verwendet. | LDAP_USERNAME=givenName |
| LDAP_EMAIL | string | Standardmäßig wird mail verwendet. | LDAP_EMAIL=userPrincipalName |
| LDAP_FULL_NAME | string | Standardmäßig wird eine Kombination aus givenName und surname verwendet. | LDAP_FULL_NAME=givenName,surname |
Benutzername oder E-Mail
Standardmäßig verwendet LibreChat eine E-Mail-Adresse und ein Passwort zur Authentifizierung.
Dies kann manchmal zu Problemen mit LDAP führen und Sie möchten möglicherweise stattdessen einen Benutzernamen verwenden.
Setzen Sie LDAP_SEARCH_FILTER, um nach dem Benutzernamen zu filtern (z. B. LDAP_SEARCH_FILTER=uid={{username}})
und konfigurieren Sie LibreChat so, dass die Anmeldung über den Benutzernamen angefordert wird:
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_LOGIN_USES_USERNAME | string | Benutzernamen anstelle von E-Mail verwenden. | LDAP_LOGIN_USES_USERNAME=true |
Active Directory über SSL
Um eine Verbindung über SSL (ldaps://) herzustellen, wie es beispielsweise bei Unternehmen mit Windows AD der Fall ist, geben Sie den Pfad zum internen CA-Zertifikat an.
LDAP_TLS_REJECT_UNAUTHORIZED ist optional; falls nicht angegeben, lehnt LibreChat TLS/SSL-Verbindungen ab, wenn das Zertifikat des LDAP-Servers nicht verifiziert werden kann.
Setzen Sie LDAP_TLS_REJECT_UNAUTHORIZED auf false (nicht empfohlen für Produktionsumgebungen),
damit LibreChat TLS/SSL-Verbindungen auch dann akzeptiert, wenn das Zertifikat des LDAP-Servers nicht verifiziert werden kann.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_CA_CERT_PATH | string | Pfad zum CA-Zertifikat. | LDAP_CA_CERT_PATH=/path/to/root_ca_cert.crt |
| LDAP_TLS_REJECT_UNAUTHORIZED | string | TLS-Verifizierung deaktivieren | LDAP_TLS_REJECT_UNAUTHORIZED=true |
LDAP StartTLS
Die Aktivierung von LDAP StartTLS ermöglicht es LibreChat, eine unsichere Verbindung auf eine sichere TLS-Verbindung aufzurüsten. Dies ist nützlich, wenn Sie die Verbindung absichern möchten, ohne auf ldaps:// umzusteigen.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_STARTTLS | string | Aktivieren Sie LDAP StartTLS, um die Verbindung auf TLS zu aktualisieren. Auf true setzen, um diese Funktion zu aktivieren. | LDAP_STARTTLS=true |
Wie finden Sie diese Anleitung?