更新时间:2022-06-17
某企业需要将LDAP服务器中的组织结构同步到设备中,并保持和LDAP服务器同步,需要AF配置LDAP自动同步。
设置需要同步的LDAP服务器,设置IP、端口、登陆用户名密码等信息,具体请参考外部认证服务器配置。
进入[用户认证/LDAP自动同步],点击<新增>,在弹出的[LDAP同步]窗口中设置同步参数。
在[LDAP同步]窗口中,设置策略名称、策略描述、同步工作模式、自动同步。[同步工作模式]选择按组织结构(OU)同步,自动同步选择启用,自动同步一天同步一次。
同步来源配置:用于设置需要同步的LDAP服务器的OU的相关信息。
LDAP服务器:用于设置需要同步的LDAP服务器,此处选择的服务器即为步骤一中设置的服务器。
从以下远程目标同步:用于指定需要同步LDAP服务器中哪些OU,点击<选择>,在窗口[组织结构选择]中选择需要同步的OU。选择完成后点击<确定>。
勾选从远程目标的根节点开始创建本地组织结构:表示LDAP中的根域名也会以组的形式同步过来,且同步的OU都是它的子组。
勾选从远程目标的当前选中节点开始创建本地组织结构:表示同步从所选的OU开始同步。
勾选从远程目标的当前选中节点的子节点开始创建本地组织结构:表示同步从所选OU的子OU开始同步,所选OU和所选OU的直属用户此时都不会同步到设备上。
导入OU的最大深度:用于设置导入的OU深度,此处设置的是10,表示从所选OU开始同步的话,它的9级子OU都能以用户组同步到设备,但是9级以下的OU不会以用户组同步到设备了,9级以下OU的用户还是可以同步到设备的,这些用户同步过来是属于第9级OU的。
过滤参数:用于设置同步的过滤参数。
[同步目标配置]:用于设置导入方式、同步的OU和用户被放置在设备组织结构的什么位置,并且可以设置同步用户的属性。
导入方式:用于选择同步时是否同步OU和用户,根据需求进行选择。
同步LDAP的OU组织结构和用户到本地:表示将OU作为用户组同步到设备上,同时将OU中的用户同步到OU对应的用户组下。
同步LDAP的用户到本地,忽略OU组织结构:表示将OU中的用户同步到设备上,但不同步OU。
同步LDAP的OU组织结构到本地,不导入用户:表示只将OU作为用户组同步到设备上,但不同步OU中的用户。此例中应该选择第一项,即同时同步OU和用户。
同步到本地的用户默认允许多人同时使用该账号登录:表示同步到设备的域账号默认是公用账号,即同一账号能够在多台计算机上登录,不勾选此项则表示用户是私有账号,只能同时在一台计算机上登录。
将远程目标导入到以下位置:用于指定设备中已有的一个组,同步过来的OU都会成为此处所选组的子组。在[组织结构选择]窗口选择相应的组,选择完成点击<确定>。
设置完同步策略,点击<确定>,添加策略完成。在[LDAP自动同步]页面查看添加的同步策略,点击<立即同步>可以立即进行同步,或等到自动一天一次进行同步。
点击立即同步后,查看同步的结果,[用户管理/组/用户]中查看[组织结构],如下图所示。此时导入的OU和用户同LDAP服务器中的完全一致。
当同步的OU或者用户同设备中已有的用户组或者用户同名时,LDAP中的OU或用户无法同步到设备。
删除同步策略
当某些同步策略没用的时候,可以将同步策略删除,点击进入[LDAP同步]页面。勾选需要删除的同步策略,点击<删除>即可。同步策略删除不会影响之前已经同步到设备上的组和用户。
查看同步报告
设备在每一次进行LDAP同步时,都会产生一份同步报告,便于您查看同步的情况。点击<查看同步报告>,在[同步报告]页面选择需要查看的同步报告,下载后即可查看。