更新时间:2023-12-20
管理员登录控制台,进入[业务管理/用户与角色]点击[+]新建用户目录,可根据现场实际情况选择对应的LDAP/AD域服务器类型,支持MS ActiveDirectory、Open LDAP、Sangfor IDTrust LDAP。
步骤1. 基本信息配置
表6基本信息配置字段说明
配置项
|
说明
|
名称
|
用户目录的名称,用于区分不同的认证服务器目录
|
描述
|
对认证服务器的信息描述
|
唯一标识
|
用于区分不同认证服务器,可通过唯一标识来识别认证服务器
|
步骤2. 管理接口配置
表7LDAP/AD管理接口操作说明表
配置项
|
说明
|
服务器地址
|
支持ldaps和ldap协议,地址可支持填写域名和IP地址,如:https://10.243.3.65:389或https://idt.atrust.sangfor.com:389。
|
管理员账号
|
填写LDAP/AD域认证服务器的管理员账号。
|
管理员密码
|
填写LDAP/AD域认证服务器的管理员密码。
|
搜索路口
|
确认用户在LDAP/AD域服务器的搜索路径,确认搜索范围,配置完成后可进行联通行测试。
|
步骤3. 属性配置
用户属性各字段说明。
表8LDAP/AD服务器用户属性字段说明
配置项
|
说明
|
用户过滤
|
用户筛选符合条件的用户。
例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。
默认微软AD域为(objectCategory=person);Open LDAP和Sangfor IDTrust LDAP为(objectclass=person)。
|
外部ID字段
|
用户的唯一标识信息字段,用户从服务器获取和同步信息。
默认微软AD域为objectGUID;Open LDAP和Sangfor IDTrust LDAP为entryUUID。
|
用户名字段
|
标识用户名的字段。
默认微软AD域为sAMAccountName;Open LDAP和Sangfor IDTrust LDAP为uid。
|
显示名字段
|
标识用户显示名的字段
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为displayName
|
描述字段
|
标识用户描述的字段。
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。
|
所属组织架构字段
|
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为ou。
|
所属角色字段
|
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP为memberOf;
|
账号状态字段
|
默认微软AD域为userAccountControl;Open LDAP从服务器获取用户状态;Sangfor IDTrust LDAP为accountEnable
|
过期时间字段
|
默认微软AD域为accountExpires;Open LDAP永不过期;Sangfor IDTrust LDAP为accountExpires
|
手机号码字段
|
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为telephoneNumber。
|
电子邮箱字段
|
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为mail。
|
组织架构属性各字段说明
表9LDAP/AD服务器组织架构属性字段说明
配置项
|
说明
|
组织架构过滤
|
用户筛选符合条件的组织架构信息。
例如:(ou=*),表示筛选出类型为ou的所有对象。
默认字段信息为(ou=*)
|
外部ID
|
用户的唯一标识信息字段,组织架构从服务器获取和同步信息。
默认微软AD域为objectGUID;Open LDAP和Sangfor IDTrust LDAP为entryUUID。
|
组名字段
|
标识组名的字段。
默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAP为ou。
|
描述字段
|
标识用户描述的字段。
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。
|
角色属性各字段说明
表10LDAP/AD服务角色属性字段说明
配置项
|
说明
|
角色过滤
|
用户筛选符合条件的角色,详细筛选过滤方法请在搜索引擎查找关键字,LDAP查询过滤语法。
微软AD域默认(&(CN=*)&(ObjectClass=group)),Open LDAP和Sangfor IDTrust LDAP为(|(objectclass=groupOfUniqueNames)|(objectclass=groupOfNames)|(objectclass=posixGroup))
|
外部ID
|
用户的唯一标识信息字段,组织架构从服务器获取和同步信息。
默认微软AD域为objectGUID;Open LDAP为entryUUID,Sangfor IDTrust为cn。
|
角色名字段
|
标识角色名的字段。
默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAP为cn。
|
描述字段
|
标识用户描述的字段。
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。
|
举例AD域服务器,具体配置如下:
步骤4. 登录安全设置
表11登录安全设置字段说明
配置项
|
说明
|
未导入用户登录
|
可设置未导入用户是否允许登录,默认不允许登录
|
用户名大小写处理
|
支持用户登录时忽略用户名大小写,默认不开启
|
具体配置如下:
步骤5. 默认授权
当外部用户未导入时,统一采用此授权。若外部用户导入后,做了精细化授权(对用户或组织架构单独做授权)时,该授权模式失效。