LibreChatLDAP/AD
Apprenez à configurer LibreChat pour utiliser LDAP pour l'authentification des utilisateurs.
Vous pouvez utiliser un serveur d'authentification Lightweight Directory Access Protocol (LDAP) pour authentifier les utilisateurs.
Configuration du serveur LDAP/AD
Configuration de base
LDAP_URLetLDAP_USER_SEARCH_BASEsont requis.LDAP_SEARCH_FILTERest facultatif ; s'il n'est pas spécifié, l'attributmailest utilisé par défaut. S'il est spécifié, utilisez le littéral{{username}}pour utiliser le nom d'utilisateur fourni pour la recherche.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_URL | string | URL du serveur LDAP. | LDAP_URL=ldap://localhost:389 |
| LDAP_BIND_DN | string | DN de liaison | LDAP_BIND_DN=cn=root |
| LDAP_BIND_CREDENTIALS | string | Mot de passe pour bindDN | LDAP_BIND_CREDENTIALS=password |
| LDAP_USER_SEARCH_BASE | string | Base de recherche d'utilisateurs LDAP | LDAP_USER_SEARCH_BASE=o=users,o=example.com |
| LDAP_SEARCH_FILTER | string | Filtre de recherche LDAP | LDAP_SEARCH_FILTER=mail={{username}} |
Mappages de champs
Vous pouvez spécifier une correspondance entre les attributs des utilisateurs LibreChat et ceux des utilisateurs LDAP. Utilisez ces paramètres si les correspondances par défaut ne fonctionnent pas correctement.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_ID | string | Spécifiez un identifiant utilisateur unique. Par défaut, uid ou sAMAccountName, mail est utilisé. | LDAP_ID=uid |
| LDAP_USERNAME | string | Par défaut, il utilise givenName ou mail. | LDAP_USERNAME=givenName |
| LDAP_EMAIL | string | Par défaut, il utilise mail. | LDAP_EMAIL=userPrincipalName |
| LDAP_FULL_NAME | string | Par défaut, il utilise une combinaison de givenName et surname. | LDAP_FULL_NAME=givenName,surname |
Nom d'utilisateur ou e-mail
Par défaut, LibreChat utilise une adresse e-mail et un mot de passe pour l'authentification.
Cela peut parfois poser problème avec LDAP et vous pourriez préférer utiliser un nom d'utilisateur à la place.
Définissez LDAP_SEARCH_FILTER pour filtrer par nom d'utilisateur (par exemple LDAP_SEARCH_FILTER=uid={{username}})
et configurez LibreChat pour demander la connexion via un nom d'utilisateur :
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_LOGIN_USES_USERNAME | string | Utiliser le nom d'utilisateur au lieu de l'adresse e-mail. | LDAP_LOGIN_USES_USERNAME=true |
Active Directory via SSL
Pour vous connecter via SSL (ldaps://), comme dans le cas d'une entreprise utilisant Windows AD, spécifiez le chemin d'accès au certificat de l'autorité de certification (CA) interne.
LDAP_TLS_REJECT_UNAUTHORIZED est optionnel ; s'il n'est pas spécifié, LibreChat rejettera les connexions TLS/SSL si le certificat du serveur LDAP ne peut pas être vérifié.
Définissez LDAP_TLS_REJECT_UNAUTHORIZED sur false (non recommandé pour les environnements de production) pour permettre à LibreChat d'accepter les connexions TLS/SSL même si le certificat du serveur LDAP ne peut pas être vérifié.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_CA_CERT_PATH | string | Chemin du certificat CA. | LDAP_CA_CERT_PATH=/path/to/root_ca_cert.crt |
| LDAP_TLS_REJECT_UNAUTHORIZED | string | Désactiver la vérification TLS | LDAP_TLS_REJECT_UNAUTHORIZED=true |
LDAP StartTLS
L'activation de LDAP StartTLS permet à LibreChat de mettre à niveau une connexion non sécurisée vers une connexion TLS sécurisée. Ceci est utile si vous souhaitez sécuriser la connexion sans passer par ldaps://.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_STARTTLS | string | Activez LDAP StartTLS pour mettre à niveau la connexion vers TLS. Définissez sur true pour activer cette fonctionnalité. | LDAP_STARTTLS=true |
Que pensez-vous de ce guide ?