更新时间:2023-06-15
aTrust支持与微软AD域或Open LDAP服务器使用标准的LDAP/LDAPS协议对接,使用LDAP服务器上的用户进行认证并登录到aTrust设备上。
在控制中心[业务管理/认证服务器/]点击<新增服务器>,新增LDAP/AD认证服务器。
表22LDAP/AD认证操作说明表
操作 |
说明 |
状态 |
设置LDAP/AD认证服务器是否启用。 |
名称 |
设置认证服务器的名称。 |
描述 |
设置认证服务器的描述,非必填项。 |
认证域 |
用于用户登录时,通过认证域判断用户认证的服务器,当有多个认证服务器时,用户选择不同的认证域,前往不同的认证服务器认证。 |
服务器类型 |
选择LDAP服务器的类型,微软的AD域选择MS ActiveDirectory;Open LDAP 服务器选择LDAP Server。 |
服务器地址 |
填写LDAP服务器的地址,协议支持ldaps或ldap,地址支持IP或域名。 例如:ldaps://1.1.1.1:636或ldap://domain.com:389。 |
认证超时 |
设置认证的超时时间,在设置时间内LDAP服务器未回复则认证失败。 |
管理员账号 |
填写管理员账号,需携带域服务器名称。 例如:sslt\administrator或administrator@sslt.com。 |
管理员密码 |
填写管理员账号的密码。 |
搜索入口 |
填写需要进行LDAP认证的用户所在的组织结构,及OU。 |
用户过滤 |
用户筛选符合条件的用户。 例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。 默认微软AD域为(objectCategory=person);Open LDAP为(objectclass=person)。 |
外部ID字段 |
用户的唯一标识信息字段,用户从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP为entryUUID。 |
用户名字段 |
标识性用户名的字段。 默认微软AD域为sAMAccountName;Open LDAP为uid。 |
显示名字段 |
标识用户显示名的字段 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为displayName |
描述字段 |
标识用户描述的字段。 默认微软AD域、Open LDAP均为description。 |
所属组织架构字段 |
默认微软AD域、Open LDAP均为ou。 |
标签(安全组)字段 |
默认微软AD域为memberOf;Open LDAP为(|(objectclass=groupOfUniqueNames)(objectclass=groupOfNames) (objectclass=posixGroup))。 |
账号状态字段 |
默认微软AD域为userAccountControl;Open LDAP从服务器获取用户状态。 |
过期时间字段 |
默认微软AD域为accountExpires;Open LDAP永不过期。 |
手机号码字段 |
默认微软AD域、Open LDAP均为telephoneNumber。 |
电子邮箱字段 |
默认微软AD域、Open LDAP均为mail。 |
:
唯一ID字段、用户名字段、描述字段、所属组织架构字段、标签(安全组)字段、账号状态字段、过期时间字段、手机号码字段、电子邮箱字段均以标准LDAP/AD服务器填写,若有修改可以使用LDAP Browser等工具确认字段含义。
与LDAP/AD认证服务器对接完成后,配置默认的认证策略,默认未配置其他认证策略的用户使用该默认认证策略。
表23LDAP/AD认证认证策略操作说明表
操作 |
说明 |
PC/WEB端认证 |
设置PC端及WEB端(含移动WEB端)的认证方式。 |
移动端认证 |
设置移动端手机APP使用的认证方式。 |
豁免规则 |
认证策略中设置了二次认证,但是在指定的环境内可以免除二次认证,或直接一键上线,例如在使用授信终端登录时、在Windows域环境下登录时、满足以下网络环境使用时等。 |
安全规则 |
当登陆时候满足设置条件时,登录时需要再次进行短信认证,例如用户的密码属于弱密码、用户在异常时间段登录、用户在异地登录等。 |
若需新建认证策略适用于部分用户,可以在对接完成后,配置的LDAP服务器中新建认证策略。
最后配置默认授权,默认授权指的是若用户的组织架构或用户未导入到外部用户中,则登录后则使用默认授权进行分配资源,若组织架构或用户导入到外部用户中,则使用导入后的组织架构或者用户的授权分配资源。
点击<授权应用>按钮可以选择需要分配的应用添加到默认授权,也可以不进行授权,则若用户或用户的组织结构未导入到外部用户中,则登录后无法看到应用。
最后点击<完成>按钮保存此次配置。