更新时间:2022-01-06
仅适用于 MS Active Diretory 服务器,即 AD 域。按照这种方式同步时,AD 域服务器中的安全组会以用户组的形式同步到设备,在 LDAP 中安全组没有组织结构的概念,设备会以平级的方式把安全组同步过来,即同步的安全组都是同一级别的组。
按安全组同步(仅 AD 域)案例
将 LDAP 服务器中的 CN=IT 人员,CN=经理组,CN=普通上网组同步到设备中,同时同步这些安全组中的用户。
LDAP 服务器中的安全组如下:
配置步骤:
第一步:设置需要同步的 LDAP 服务器,设置 IP、端口、登陆用户名密码等信息,具体请参见『用户认证』→『外部认证服务器』(参见章节 3.7.2.3)
第二步:进入『用户认证』→『LDAP 自动同步』,点击新增,在弹出的【LDAP同步】窗口中设置同步参数。
第三步:在【LDAP 同步】窗口中,设置[策略名称]、[策略描述]、[同步工作模式]、[自动同步]。[同步工作模式]选择按安全组同步,[自动同步]选择启用, 自动同步一天同步一次。
第四步:[同步来源配置]用于设置需要同步的 LDAP 服务器的安全组相关信息。
[LDAP 服务器]用于设置需要同步的 LDAP 服务器,此处选择的服务器即为步骤一中设置的服务器。
[从以下远程目标同步]用于指定需要同步 LDAP 服务器中哪些安全组,点击 ,在窗口【组织结构选择】中选择需要同步的安全组:CN=IT 人员,CN=经理组,CN=普通上网组。选择完成后点击确定。
勾选[从远程目标的根节点开始创建本地组织结构]表示LDAP 中的根域名也会以组的形式同步过来,且同步的 OU 都是它的子组。
勾选[从远程目标的当前选中节点开始创建本地组织结构]表示同步从所选的 OU 开始同步。
勾选[从远程目标的当前选中节点的子节点开始创建本地组织结构]表示同步从所选 OU 的子 OU 开始同步,所选 OU 和所选 OU 的直属用户此时都不会同步到设备上。
[导入 OU 的最大深度]在按照安全组同步时是没有作用的,可以忽略不设置。
[过滤参数]:用于设置同步的过滤参数。
第五步:[同步目标配置]用于设置同步的安全组和用户被放置在设备组织结构的什么位置,并且可以设置同步用户的属性。
[导入方式]在选择按照安全组同步时不可选择,默认是将安全组和用户都同步到设备中。
[将远程目标导入到以下位置]用于指定设备中已有的一个组,同步过来的安全组都会成为此处所选组的子组。点击 ,在【组织结构选择】窗口选择相应的组,选择完成点击确定。
勾选[同步到本地的用户默认允许多人同时使用该账号登录]表示同步到设备的域账号默认是公用账号,即同一账号能够在多台计算机上登录,不勾选此项则表示用户是私有账号,只能同时在一台计算机上登录。
第六步:设置完同步策略,点击提交,添加策略完成。在【LDAP 自动同步】
页面查看添加的同步策略,点击可以立即进行同步,不点击则可以等到自动一天一次进行同步。
第七步:点击立即同步后,查看同步的结果:『用户管理』→『组/用户』中查看【组织结构】,如下图:此时导入的安全组和用户同 LDAP 服务器中的完全一致。
注意:当同步的安全组或者用户同设备中已有的用户组或者用户同名时,LDAP 中的安全组或用户无法同步到设备。