aTrust支持与微软AD域或Open LDAP服务器使用标准的LDAP/LDAPS协议对接,使用LDAP服务器上的用户进行认证并登录到aTrust设备上。
在控制中心[业务管理/认证服务器/]点击<新增服务器>,新增LDAP/AD认证服务器。
表22LDAP/AD认证操作说明表
|
操作 |
说明 |
|
状态 |
设置LDAP/AD认证服务器是否启用。 |
|
名称 |
设置认证服务器的名称。 |
|
描述 |
设置认证服务器的描述,非必填项。 |
|
认证域 |
用于用户登录时,通过认证域判断用户认证的服务器,当有多个认证服务器时,用户选择不同的认证域,前往不同的认证服务器认证。 |
|
服务器类型 |
选择LDAP服务器的类型,微软的AD域选择MS ActiveDirectory;Open LDAP 服务器选择LDAP Server。 |
|
服务器地址 |
填写LDAP服务器的地址,协议支持ldaps或ldap,地址支持IP或域名。 例如:ldaps://1.1.1.1:636或ldap://domain.com:389。 |
|
认证超时 |
设置认证的超时时间,在设置时间内LDAP服务器未回复则认证失败。 |
|
管理员账号 |
填写管理员账号,需携带域服务器名称。 例如:sslt\administrator或administrator@sslt.com。 |
|
管理员密码 |
填写管理员账号的密码。 |
|
搜索入口 |
填写需要进行LDAP认证的用户所在的组织结构,及OU。 |
|
用户过滤 |
用户筛选符合条件的用户。 例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。 默认微软AD域为(objectCategory=person);Open LDAP为(objectclass=person)。 |
|
外部ID字段 |
用户的唯一标识信息字段,用户从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP为entryUUID。 |
|
用户名字段 |
标识性用户名的字段。 默认微软AD域为sAMAccountName;Open LDAP为uid。 |
|
显示名字段 |
标识用户显示名的字段 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为displayName |
|
描述字段 |
标识用户描述的字段。 默认微软AD域、Open LDAP均为description。 |
|
所属组织架构字段 |
默认微软AD域、Open LDAP均为ou。 |
|
标签(安全组)字段 |
默认微软AD域为memberOf;Open LDAP为(|(objectclass=groupOfUniqueNames)(objectclass=groupOfNames) (objectclass=posixGroup))。 |
|
账号状态字段 |
默认微软AD域为userAccountControl;Open LDAP从服务器获取用户状态。 |
|
过期时间字段 |
默认微软AD域为accountExpires;Open LDAP永不过期。 |
|
手机号码字段 |
默认微软AD域、Open LDAP均为telephoneNumber。 |
|
电子邮箱字段 |
默认微软AD域、Open LDAP均为mail。 |
:
唯一ID字段、用户名字段、描述字段、所属组织架构字段、标签(安全组)字段、账号状态字段、过期时间字段、手机号码字段、电子邮箱字段均以标准LDAP/AD服务器填写,若有修改可以使用LDAP Browser等工具确认字段含义。
与LDAP/AD认证服务器对接完成后,配置默认的认证策略,默认未配置其他认证策略的用户使用该默认认证策略。
表23LDAP/AD认证认证策略操作说明表
|
操作 |
说明 |
|
PC/WEB端认证 |
设置PC端及WEB端(含移动WEB端)的认证方式。 |
|
移动端认证 |
设置移动端手机APP使用的认证方式。 |
|
豁免规则 |
认证策略中设置了二次认证,但是在指定的环境内可以免除二次认证,或直接一键上线,例如在使用授信终端登录时、在Windows域环境下登录时、满足以下网络环境使用时等。 |
|
安全规则 |
当登陆时候满足设置条件时,登录时需要再次进行短信认证,例如用户的密码属于弱密码、用户在异常时间段登录、用户在异地登录等。 |
若需新建认证策略适用于部分用户,可以在对接完成后,配置的LDAP服务器中新建认证策略。
最后配置默认授权,默认授权指的是若用户的组织架构或用户未导入到外部用户中,则登录后则使用默认授权进行分配资源,若组织架构或用户导入到外部用户中,则使用导入后的组织架构或者用户的授权分配资源。
点击<授权应用>按钮可以选择需要分配的应用添加到默认授权,也可以不进行授权,则若用户或用户的组织结构未导入到外部用户中,则登录后无法看到应用。
最后点击<完成>按钮保存此次配置。
A公司使用MS的AD域,希望和aTrust部署完成后,也可以使用AD域中的账号登陆aTrust,从而用户均可使用一个账号登陆公司的所有业务系统。
预制条件
配置流程
配置步骤
步骤1.在零信任控制中心的[业务管理/认证管理/认证服务器]中新增认证服务器,选择LDAP/AD认证。
步骤2.完成LADP/AD认证服务器的配置,包括服务器的基本信息配置,如下。
步骤3.完成用户源的配置,用户源设置有两种场景配置,分别是如下:
场景1. 已配置好的LDAP/AD认证服务器的用户目录,可直接选择。
场景2. 如果未新建好,可直接点击新增 ,会跳转到用户目录新建页面,在用户来源处,可选择外部(支持对接MS ActiveDirectory/Open LDAP/Sangfor IDTrust LDAP)或本地(可批量导入本地用户),具体配置可在该页面查看右侧帮助教程。
在用户目录选择好后,用户认证接口配置会自动填入对应用户目录的服务器信息,如图:
步骤4.认证服务器的用户源配置完成后,即可自动生成相对应的用户目录认证策略,默认为账号密码认证,如需改变用户登录的认证流程(比如,二次认证、一键上线、豁免认证等)可在[业务管理/认证管理/认证策略]进行配置。
效果显示
使用LDAP/AD域认证服务器对接成功后,可以用户可以成功登陆,配置的权限均可正常授权。
若使用LDAP服务器作为默认登陆服务器,管理员在控制中心,进入[系统管理/系统配置/登录门户/门户设置]-默认登录方式,选择创建的LDAP/AD域服务,点击保存。浏览器输入用户接入地址在用户登陆首页,登陆域默认切换为LDAP的登陆域。
若设置了未导入用户禁止登陆的功能,则没有导入到设备的用户无法登陆。
注意事项
建议使用Chrome浏览器访问!
