管理员登录控制台,进入[业务管理/用户与角色]点击[+]新建用户目录,可根据现场实际情况选择对应的LDAP/AD域服务器类型,支持MS ActiveDirectory、Open LDAP、Sangfor IDTrust LDAP。
步骤1. 基本信息配置
表6基本信息配置字段说明
配置项 | 说明 |
名称 | 用户目录的名称,用于区分不同的认证服务器目录 |
描述 | 对认证服务器的信息描述 |
唯一标识 | 用于区分不同认证服务器,可通过唯一标识来识别认证服务器 |
步骤2. 管理接口配置
表7LDAP/AD管理接口操作说明表
配置项 | 说明 |
服务器地址 | 支持ldaps和ldap协议,地址可支持填写域名和IP地址,如:https://10.243.3.65:389或https://idt.atrust.sangfor.com:389。 |
管理员账号 | 填写LDAP/AD域认证服务器的管理员账号。 |
管理员密码 | 填写LDAP/AD域认证服务器的管理员密码。 |
搜索路口 | 确认用户在LDAP/AD域服务器的搜索路径,确认搜索范围,配置完成后可进行联通行测试。 |
步骤3. 属性配置
用户属性各字段说明。
表8LDAP/AD服务器用户属性字段说明
配置项 | 说明 |
用户过滤 | 用户筛选符合条件的用户。 例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。 默认微软AD域为(objectCategory=person);Open LDAP和Sangfor IDTrust LDAP为(objectclass=person)。 |
外部ID字段 | 用户的唯一标识信息字段,用户从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP和Sangfor IDTrust LDAP为entryUUID。 |
用户名字段 | 标识用户名的字段。 默认微软AD域为sAMAccountName;Open LDAP和Sangfor IDTrust LDAP为uid。 |
显示名字段 | 标识用户显示名的字段 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为displayName |
描述字段 | 标识用户描述的字段。 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。 |
所属组织架构字段 | 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为ou。 |
所属角色字段 | 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP为memberOf; |
账号状态字段 | 默认微软AD域为userAccountControl;Open LDAP从服务器获取用户状态;Sangfor IDTrust LDAP为accountEnable |
过期时间字段 | 默认微软AD域为accountExpires;Open LDAP永不过期;Sangfor IDTrust LDAP为accountExpires |
手机号码字段 | 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为telephoneNumber。 |
电子邮箱字段 | 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为mail。 |
组织架构属性各字段说明
表9LDAP/AD服务器组织架构属性字段说明
配置项 | 说明 |
组织架构过滤 | 用户筛选符合条件的组织架构信息。 例如:(ou=*),表示筛选出类型为ou的所有对象。 默认字段信息为(ou=*) |
外部ID | 用户的唯一标识信息字段,组织架构从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP和Sangfor IDTrust LDAP为entryUUID。 |
组名字段 | 标识组名的字段。 默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAP为ou。 |
描述字段 | 标识用户描述的字段。 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。 |
角色属性各字段说明
表10LDAP/AD服务角色属性字段说明
配置项 | 说明 |
角色过滤 | 用户筛选符合条件的角色,详细筛选过滤方法请在搜索引擎查找关键字,LDAP查询过滤语法。 微软AD域默认(&(CN=*)&(ObjectClass=group)),Open LDAP和Sangfor IDTrust LDAP为(|(objectclass=groupOfUniqueNames)|(objectclass=groupOfNames)|(objectclass=posixGroup)) |
外部ID | 用户的唯一标识信息字段,组织架构从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP为entryUUID,Sangfor IDTrust为cn。 |
角色名字段 | 标识角色名的字段。 默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAP为cn。 |
描述字段 | 标识用户描述的字段。 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。 |
举例AD域服务器,具体配置如下:
步骤4. 登录安全设置
表11登录安全设置字段说明
配置项 | 说明 |
未导入用户登录 | 可设置未导入用户是否允许登录,默认不允许登录 |
用户名大小写处理 | 支持用户登录时忽略用户名大小写,默认不开启 |
具体配置如下:
步骤5. 默认授权
当外部用户未导入时,统一采用此授权。若外部用户导入后,做了精细化授权(对用户或组织架构单独做授权)时,该授权模式失效。
建议使用Chrome浏览器访问!
