零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","LDAP/AD域服务器在线获取用户")}}

LDAP/AD域服务器在线获取用户

更新时间:2023-12-20

管理员登录控制台,进入[业务管理/用户与角色]点击[+]新建用户目录,可根据现场实际情况选择对应的LDAP/AD域服务器类型,支持MS ActiveDirectoryOpen LDAPSangfor IDTrust LDAP

步骤1. 基本信息配置

表6基本信息配置字段说明

配置项

说明

名称

用户目录的名称,用于区分不同的认证服务器目录

描述

对认证服务器的信息描述

唯一标识

用于区分不同认证服务器,可通过唯一标识来识别认证服务器

步骤2. 管理接口配置

表7LDAP/AD管理接口操作说明表

配置项

说明

服务器地址

支持ldapsldap协议,地址可支持填写域名和IP地址,如:https://10.243.3.65:389https://idt.atrust.sangfor.com:389

管理员账号

填写LDAP/AD域认证服务器的管理员账号。

管理员密码

填写LDAP/AD域认证服务器的管理员密码。

搜索路口

确认用户在LDAP/AD域服务器的搜索路径,确认搜索范围,配置完成后可进行联通行测试。

 

步骤3. 属性配置

用户属性各字段说明。

表8LDAP/AD服务器用户属性字段说明

配置项

说明

用户过滤

用户筛选符合条件的用户。

例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。

默认微软AD域为(objectCategory=person)Open LDAPSangfor IDTrust LDAP(objectclass=person)

外部ID字段

用户的唯一标识信息字段,用户从服务器获取和同步信息。

默认微软AD域为objectGUIDOpen LDAPSangfor IDTrust LDAPentryUUID

用户名字段

标识用户名的字段。

默认微软AD域为sAMAccountNameOpen LDAPSangfor IDTrust LDAPuid

显示名字段

标识用户显示名的字段

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为displayName

描述字段

标识用户描述的字段。

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为description

所属组织架构字段

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为ou

所属角色字段

默认微软AD域、Open LDAPSangfor IDTrust LDAPmemberOf

账号状态字段

默认微软AD域为userAccountControlOpen LDAP从服务器获取用户状态;Sangfor IDTrust LDAPaccountEnable

过期时间字段

默认微软AD域为accountExpiresOpen LDAP永不过期;Sangfor IDTrust LDAPaccountExpires

手机号码字段

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为telephoneNumber

电子邮箱字段

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为mail

 

组织架构属性各字段说明

表9LDAP/AD服务器组织架构属性字段说明

配置项

说明

组织架构过滤

用户筛选符合条件的组织架构信息。

例如:(ou=*),表示筛选出类型为ou的所有对象。

默认字段信息为(ou=*)

外部ID

用户的唯一标识信息字段,组织架构从服务器获取和同步信息。

默认微软AD域为objectGUIDOpen LDAPSangfor IDTrust LDAPentryUUID

组名字段

标识组名的字段。

默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAPou

描述字段

标识用户描述的字段。

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为description

角色属性各字段说明

表10LDAP/AD服务角色属性字段说明

配置项

说明

角色过滤

用户筛选符合条件的角色,详细筛选过滤方法请在搜索引擎查找关键字,LDAP查询过滤语法。

微软AD域默认(&(CN=*)&(ObjectClass=group))Open LDAPSangfor IDTrust LDAP(|(objectclass=groupOfUniqueNames)|(objectclass=groupOfNames)|(objectclass=posixGroup))

外部ID

用户的唯一标识信息字段,组织架构从服务器获取和同步信息。

默认微软AD域为objectGUIDOpen LDAPentryUUIDSangfor IDTrustcn

角色名字段

标识角色名的字段。

默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAPcn

描述字段

标识用户描述的字段。

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为description

 

举例AD域服务器,具体配置如下:

步骤4. 登录安全设置

表11登录安全设置字段说明

配置项

说明

未导入用户登录

可设置未导入用户是否允许登录,默认不允许登录

用户名大小写处理

支持用户登录时忽略用户名大小写,默认不开启

    具体配置如下:

     

步骤5. 默认授权

当外部用户未导入时,统一采用此授权。若外部用户导入后,做了精细化授权(对用户或组织架构单独做授权)时,该授权模式失效。