操作

说明

状态

设置LDAP/AD认证服务器是否启用。

名称

设置认证服务器的名称。

描述

设置认证服务器的描述，非必填项。

认证域

用于用户登录时，通过认证域判断用户认证的服务器，当有多个认证服务器时，用户选择不同的认证域，前往不同的认证服务器认证。

服务器类型

选择LDAP服务器的类型，微软的AD域选择MS ActiveDirectory；Open LDAP 服务器选择LDAP Server。

服务器地址

填写LDAP服务器的地址，协议支持ldaps或ldap，地址支持IP或域名。

例如：ldaps://1.1.1.1:636或ldap://domain.com:389。

认证超时

设置认证的超时时间，在设置时间内LDAP服务器未回复则认证失败。

管理员账号

填写管理员账号，需携带域服务器名称。

例如：sslt\administrator或administrator@sslt.com。

管理员密码

填写管理员账号的密码。

搜索入口

填写需要进行LDAP认证的用户所在的组织结构，及OU。

用户过滤

用户筛选符合条件的用户。

例如：objectCategory=person，表示筛选出类型为person的所有对象；!objectCategory=computer，表示筛选出类型不为computer的所有对象；&(objectCategory=person)(ou=sangfor)，表示筛选出类型为person且组织架构为sangfor的所有对象；cn=jo*，表示筛选出名字为jo开头的所有对象（注意加上括号）。

默认微软AD域为(objectCategory=person)；Open LDAP为(objectclass=person)。

外部ID字段

用户的唯一标识信息字段，用户从服务器获取和同步信息。

默认微软AD域为objectGUID；Open LDAP为entryUUID。

用户名字段

标识性用户名的字段。

默认微软AD域为sAMAccountName；Open LDAP为uid。

显示名字段

标识用户显示名的字段

默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为displayName

描述字段

标识用户描述的字段。

默认微软AD域、Open LDAP均为description。

所属组织架构字段

默认微软AD域、Open LDAP均为ou。

标签（安全组）字段

默认微软AD域为memberOf；Open LDAP为(|(objectclass=groupOfUniqueNames)(objectclass=groupOfNames)

(objectclass=posixGroup))。

账号状态字段

默认微软AD域为userAccountControl；Open LDAP从服务器获取用户状态。

过期时间字段

默认微软AD域为accountExpires；Open LDAP永不过期。

手机号码字段

默认微软AD域、Open LDAP均为telephoneNumber。

电子邮箱字段

默认微软AD域、Open LDAP均为mail。

操作

说明

PC/WEB端认证

设置PC端及WEB端（含移动WEB端）的认证方式。

移动端认证

设置移动端手机APP使用的认证方式。

豁免规则

认证策略中设置了二次认证，但是在指定的环境内可以免除二次认证，或直接一键上线，例如在使用授信终端登录时、在Windows域环境下登录时、满足以下网络环境使用时等。

安全规则

当登陆时候满足设置条件时，登录时需要再次进行短信认证，例如用户的密码属于弱密码、用户在异常时间段登录、用户在异地登录等。