LDAP/AD
Tìm hiểu cách cấu hình LibreChat để sử dụng LDAP cho xác thực người dùng.
Bạn có thể sử dụng máy chủ xác thực Lightweight Directory Access Protocol (LDAP) để xác thực người dùng.
Cấu hình máy chủ LDAP/AD
Cấu hình cơ bản
LDAP_URLvàLDAP_USER_SEARCH_BASElà bắt buộc.LDAP_SEARCH_FILTERlà tùy chọn; nếu không được chỉ định, thuộc tínhmailsẽ được sử dụng theo mặc định. Nếu được chỉ định, hãy sử dụng chuỗi ký tự{{username}}để dùng tên người dùng đã cung cấp cho việc tìm kiếm.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_URL | string | URL máy chủ LDAP. | LDAP_URL=ldap://localhost:389 |
| LDAP_BIND_DN | string | DN liên kết | LDAP_BIND_DN=cn=root |
| LDAP_BIND_CREDENTIALS | string | Mật khẩu cho bindDN | LDAP_BIND_CREDENTIALS=password |
| LDAP_USER_SEARCH_BASE | string | Cơ sở tìm kiếm người dùng LDAP | LDAP_USER_SEARCH_BASE=o=users,o=example.com |
| LDAP_SEARCH_FILTER | string | Bộ lọc tìm kiếm LDAP | LDAP_SEARCH_FILTER=mail={{username}} |
Ánh xạ trường
Bạn có thể chỉ định ánh xạ giữa các thuộc tính của người dùng LibreChat và người dùng LDAP. Hãy sử dụng các cài đặt này nếu các ánh xạ mặc định không hoạt động chính xác.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_ID | string | Chỉ định một ID người dùng duy nhất. Theo mặc định, uid hoặc sAMAccountName, mail sẽ được sử dụng. | LDAP_ID=uid |
| LDAP_USERNAME | string | Theo mặc định, nó sử dụng givenName hoặc mail. | LDAP_USERNAME=givenName |
| LDAP_EMAIL | string | Theo mặc định, nó sử dụng mail. | LDAP_EMAIL=userPrincipalName |
| LDAP_FULL_NAME | string | Theo mặc định, nó sử dụng kết hợp giữa givenName và surname. | LDAP_FULL_NAME=givenName,surname |
Tên người dùng hoặc Email
Theo mặc định, LibreChat sử dụng địa chỉ email và mật khẩu để xác thực.
Điều này đôi khi có thể gây ra vấn đề với LDAP và bạn có thể muốn sử dụng tên người dùng thay thế.
Hãy đặt LDAP_SEARCH_FILTER để lọc theo tên người dùng (ví dụ: LDAP_SEARCH_FILTER=uid={{username}})
và cấu hình LibreChat để yêu cầu đăng nhập qua tên người dùng:
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_LOGIN_USES_USERNAME | string | Sử dụng tên người dùng thay vì email. | LDAP_LOGIN_USES_USERNAME=true |
Active Directory qua SSL
Để kết nối qua SSL (ldaps://), chẳng hạn như đối với công ty sử dụng Windows AD, hãy chỉ định đường dẫn đến chứng chỉ CA nội bộ.
LDAP_TLS_REJECT_UNAUTHORIZED là tùy chọn; nếu không được chỉ định, LibreChat sẽ từ chối các kết nối TLS/SSL nếu chứng chỉ của máy chủ LDAP không thể xác minh được.
thiết lập LDAP_TLS_REJECT_UNAUTHORIZED thành false (không khuyến nghị cho môi trường production)
để cho phép Librechat chấp nhận các kết nối TLS/SSL ngay cả khi chứng chỉ của máy chủ LDAP không thể xác minh được.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_CA_CERT_PATH | string | Đường dẫn chứng chỉ CA. | LDAP_CA_CERT_PATH=/path/to/root_ca_cert.crt |
| LDAP_TLS_REJECT_UNAUTHORIZED | string | Vô hiệu hóa xác thực TLS | LDAP_TLS_REJECT_UNAUTHORIZED=true |
LDAP StartTLS
Việc bật LDAP StartTLS cho phép LibreChat nâng cấp một kết nối không bảo mật thành kết nối TLS bảo mật. Điều này rất hữu ích nếu bạn muốn bảo mật kết nối mà không cần chuyển sang ldaps://.
| Key | Type | Description | Example |
|---|---|---|---|
| LDAP_STARTTLS | string | Bật LDAP StartTLS để nâng cấp kết nối lên TLS. Đặt thành true để bật tính năng này. | LDAP_STARTTLS=true |
Hướng dẫn này thế nào?