下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.32
{{sendMatomoQuery("下一代防火墙AF","按组织结构(OU)同步")}}

按组织结构(OU)同步

更新时间:2022-01-06

适用于所有类型的 LDAP 服务器,按照这种方式同步时 LDAP 服务器中的OU 会以用户组的形式同步到设备,并且 OU 的组织结构也会以相同的形式同步到设备,用户同步到设备仍然属于对应的 OU 组。

按 OU 同步配置案例

将 LDAP 服务器中的 OU=工程部,OU=市场部,OU=IT 部同步到设备中, 同时同步这些 OU 对应的子 OU 和用户。

LDAP 服务器中的组织结构如下:

配置步骤:

第一步:设置需要同步的 LDAP 服务器,设置 IP、端口、登陆用户名密码等信息,具体请参见『用户认证』→『外部认证服务器』(参见章节 3.7.2.3)

第二步:进入『用户认证』→『LDAP 自动同步』,点击新增,在弹出的【LDAP同步】窗口中设置同步参数。

第三步:在【LDAP 同步】窗口中,设置[策略名称]、[策略描述]、[同步工作模式]、[自动同步]。[同步工作模式]选择按组织结构(OU)同步,[自动同步] 选择启用,自动同步一天同步一次。

第四步:[同步来源配置]用于设置需要同步的 LDAP 服务器的 OU 的相关信息。

[LDAP 服务器]用于设置需要同步的 LDAP 服务器,此处选择的服务器即为步骤一中设置的服务器。

[从以下远程目标同步]用于指定需要同步 LDAP 服务器中哪些 OU,点击选择,在窗口【组织结构选择】中z选择需要同步的 OU:OU=工程部OU=市场部,OU=IT 部选择完成后点击确定。

勾选[从远程目标的根节点开始创建本地组织结构]表示LDAP 中的根域名也会以组的形式同步过来,且同步的 OU 都是它的子组。

勾选[从远程目标的当前选中节点开始创建本地组织结构]表示同步从所选的 OU 开始同步。

勾选[从远程目标的当前选中节点的子节点开始创建本地组织结构]表示同步从所选 OU 的子 OU 开始同步,所选 OU 和所选 OU 的直属用户此时都不会同步到设备上。

[导入 OU 的最大深度]:用于设置导入的 OU 深度,此处设置的是 10,表示从所选 OU 开始同步的话,它的 9 级子 OU 都能以用户组同步到设备,但是 9 级以下的 OU 不会以用户组同步到设备了,9 级以下 OU 的用户还是可以同步到设备的,这些用户同步过来是属于第 9 级 OU 的。

[过滤参数]:用于设置同步的过滤参数。

第五步:[同步目标配置]用于设置导入方式、同步的 OU 和用户被放置在设备组织结构的什么位置,并且可以设置同步用户的属性。

[导入方式]用于选择同步时是否同步 OU 和用户。勾选[同步 LDAP 的 OU 组织结构和用户到本地]表示将 OU 做为用户组同步到设备上,同时将 OU 中的用户同步到 OU 对应的用户组下。勾选[同步 LDAP 的用户到本地,忽略 OU 组织结构]表示将 OU 中的用户同步到设备上,但不同步 OU。勾选[同步 LDAP 的 OU 组织结构到本地,不导入用户]表示只将 OU 做为用户组同步到设备上,但不同步 OU 中的用户。此例中应该选择第一项,即同时同步 OU 和用户。

[将远程目标导入到以下位置]用于指定设备中已有的一个组,同步过来的OU 都会成为此处所选组的子组。点击,在【组织结构选择】窗口选择相应的组,选择完成点击确定。

勾选[同步到本地的用户默认允许多人同时使用该账号登录]表示同步到设备的域账号默认是公用账号,即同一账号能够在多台计算机上登录,不勾选此项则表示用户是私有账号,只能同时在一台计算机上登录。

第六步:设置完同步策略,点击提交,添加策略完成。在【LDAP 自动同步】

页面查看添加的同步策略,点击可以立即进行同步,不点击则可以等到自动一天一次进行同步。

第七步:点击立即同步后,查看同步的结果:『用户管理』→『组/用户』中查看【组织结构】,如下图:此时导入的 OU 和用户同 LDAP 服务器中的完全一致。

当同步的 OU 或者用户同设备中已有的用户组或者用户同名时,

注意:LDAP 中的 OU 或用户无法同步到设备。