A公司使用MS的AD域,希望和aTrust部署完成后,也可以使用AD域中的账号登陆aTrust,从而用户均可使用一个账号登陆公司的所有业务系统。
预制条件
获取客户的LDAP服务器的类型,如微软AD域、open ldap等;
获取LDAP服务器的IP地址及端口,并保障控制中心与LDAP服务器网络可达;
获取管理员账号密码;
获取LDAP服务器的连接协议(LDAP/LDAPS)。
配置流程
登陆控制中心;
在认证服务器中与LDAP服务器对接;
配置相关对接参数;
导入外部用户/用户组/安全组进行精细化授权。
配置步骤
在零信任控制中心的[业务管理/认证管理/认证服务器]中新增认证服务器,选择LDAP/AD认证。
完成LADP/AD认证服务器的配置,包括服务器的基本信息配置和用户认证接口配置,如下。
完成用户源的配置,用户源设置有两种场景配置,分别是如下:
场景1. 已配置好的LDAP/AD认证服务器的用户目录,可直接选择。
场景2. 如果未新建好,可直接点击新增 ,会跳转到用户目录新建页面,在用户来源处,可选择外部(支持对接MS ActiveDirectory/Open LDAP/Sangfor IDTrust LDAP)或本地(可批量导入本地用户),具体配置可在该页面查看右侧帮助教程。
认证服务器的用户源配置完成后,即可自动生成相对应的用户目录认证策略,默认为账号密码认证,如需改变用户登录的认证流程(比如,二次认证、一键上线、豁免认证等)可在[业务管理/认证管理/认证策略]进行配置。
效果显示
使用LDAP/AD域认证服务器对接成功后,可以用户可以成功登陆,配置的权限均可正常授权。
若使用LDAP服务器作为默认登陆服务器,管理员在控制中心,进入[系统管理/系统配置/登录门户/门户设置]-默认登录方式,选择创建的LDAP/AD域服务,点击保存。浏览器输入用户接入地址在用户登陆首页,登陆域默认切换为LDAP的登陆域。
若设置了未导入用户禁止登陆的功能,则没有导入到设备的用户无法登陆。
注意事项
配置LDAP服务器若是使用域名配置的服务器地址,确保设备能正确解析该域名。
配置LDAP服务器,若手机号码、mail等相关参数被修改过,设备需要同步修改读取对应字段,可使用LDAP Browser等相关工具读取。
建议使用Chrome浏览器访问!
