管理员登录控制台,进入[业务管理/用户与角色]点击[+]新建用户目录,可根据现场实际情况选择对应的LDAP/AD域服务器类型,支持MS ActiveDirectory、Open LDAP、Sangfor IDTrust LDAP。
步骤1. 基本信息配置
表6基本信息配置字段说明
|
配置项 |
说明 |
|
名称 |
用户目录的名称,用于区分不同的认证服务器目录 |
|
描述 |
对认证服务器的信息描述 |
|
唯一标识 |
用于区分不同认证服务器,可通过唯一标识来识别认证服务器 |
步骤2. 管理接口配置
表7LDAP/AD管理接口操作说明表
|
配置项 |
说明 |
|
服务器地址 |
支持ldaps和ldap协议,地址可支持填写域名和IP地址,如:https://10.243.3.65:389或https://idt.atrust.sangfor.com:389。 |
|
管理员账号 |
填写LDAP/AD域认证服务器的管理员账号。 |
|
管理员密码 |
填写LDAP/AD域认证服务器的管理员密码。 |
|
搜索路口 |
确认用户在LDAP/AD域服务器的搜索路径,确认搜索范围,配置完成后可进行联通行测试。 |
步骤3. 属性配置
用户属性各字段说明。
表8LDAP/AD服务器用户属性字段说明
|
配置项 |
说明 |
|
用户过滤 |
用户筛选符合条件的用户。 例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。 默认微软AD域为(objectCategory=person);Open LDAP和Sangfor IDTrust LDAP为(objectclass=person)。 |
|
外部ID字段 |
用户的唯一标识信息字段,用户从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP和Sangfor IDTrust LDAP为entryUUID。 |
|
用户名字段 |
标识用户名的字段。 默认微软AD域为sAMAccountName;Open LDAP和Sangfor IDTrust LDAP为uid。 |
|
显示名字段 |
标识用户显示名的字段 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为displayName |
|
描述字段 |
标识用户描述的字段。 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。 |
|
所属组织架构字段 |
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为ou。 |
|
所属角色字段 |
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP为memberOf; |
|
账号状态字段 |
默认微软AD域为userAccountControl;Open LDAP从服务器获取用户状态;Sangfor IDTrust LDAP为accountEnable |
|
过期时间字段 |
默认微软AD域为accountExpires;Open LDAP永不过期;Sangfor IDTrust LDAP为accountExpires |
|
手机号码字段 |
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为telephoneNumber。 |
|
电子邮箱字段 |
默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为mail。 |
组织架构属性各字段说明
表9LDAP/AD服务器组织架构属性字段说明
|
配置项 |
说明 |
|
组织架构过滤 |
用户筛选符合条件的组织架构信息。 例如:(ou=*),表示筛选出类型为ou的所有对象。 默认字段信息为(ou=*) |
|
外部ID |
用户的唯一标识信息字段,组织架构从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP和Sangfor IDTrust LDAP为entryUUID。 |
|
组名字段 |
标识组名的字段。 默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAP为ou。 |
|
描述字段 |
标识用户描述的字段。 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。 |
角色属性各字段说明
表10LDAP/AD服务角色属性字段说明
|
配置项 |
说明 |
|
角色过滤 |
用户筛选符合条件的角色,详细筛选过滤方法请在搜索引擎查找关键字,LDAP查询过滤语法。 微软AD域默认(&(CN=*)&(ObjectClass=group)),Open LDAP和Sangfor IDTrust LDAP为(|(objectclass=groupOfUniqueNames)|(objectclass=groupOfNames)|(objectclass=posixGroup)) |
|
外部ID |
用户的唯一标识信息字段,组织架构从服务器获取和同步信息。 默认微软AD域为objectGUID;Open LDAP为entryUUID,Sangfor IDTrust为cn。 |
|
角色名字段 |
标识角色名的字段。 默认微软AD域为sAMAccountName/Open LDAP/Sangfor IDTrust LDAP为cn。 |
|
描述字段 |
标识用户描述的字段。 默认微软AD域、Open LDAP和Sangfor IDTrust LDAP均为description。 |
举例AD域服务器,具体配置如下:
步骤4. 登录安全设置
表11登录安全设置字段说明
|
配置项 |
说明 |
|
未导入用户登录 |
可设置未导入用户是否允许登录,默认不允许登录 |
|
用户名大小写处理 |
支持用户登录时忽略用户名大小写,默认不开启 |
具体配置如下:
步骤5. 默认授权
当外部用户未导入时,统一采用此授权。若外部用户导入后,做了精细化授权(对用户或组织架构单独做授权)时,该授权模式失效。
LDAP/AD配置完成后,需对服务器的用户进行管理,包括用户信息维护,精细化授权等操作。
步骤1. 管理员登录控制中心,进入[业务管理/用户与角色]选择点击新建的LDAP/AD认证服务器用户目录选项卡,切换微软AD域服务器用户目录管理页面。
步骤2. 进入用户管理页面后,可对LDAP/AD认证服务器做精细化用户管理,包括认证服务器的组织架构、群组和用户等。
组织架构:
|
配置项 |
说明 |
|
导入 |
将第三方的LDAP/AD域服务器的组织架构和用户导入至aTrust本地。 |
|
立即同步 |
同步LDAP/AD域服务器的组织架构和用户信息。 |
|
设置 |
设定与LDAP/AD域服务器同步时间周期。 |
|
日志 |
支持输出aTrust与LDAP/AD域服务器同步的日志输出。 |
|
编辑 |
选择对应的组织架构后,支持编辑组织架构的认证策略和用户策略,且支持组织架构授权。 |
|
授权 |
选择对应的组织架构后,点击授权可对该组织进行应用授权,设定该组内的用户所具有的应用访问权限。 |
|
|
选择组织架构后,点击 |
导入组织架构和用户信息
设置同步时间。
角色:
角色是指将不同组织架构、同组织架构或属性相同的用户,组合成一个新的组织,可对其进行管理和授权。
|
配置项 |
说明 |
|
新增 |
支持新建群组,将不同组织架构或相同属性的用户组合成一个组织。同时支持导入LDAP/AD的安全组导入。 |
|
立即同步 |
同步LDAP/AD域服务器的组织架构和用户信息。 |
|
设置 |
设定与LDAP/AD域服务器同步时间周期。 |
|
日志 |
支持输出aTrust与LDAP/AD域服务器同步的日志输出。 |
|
编辑 |
选择对应的组织架构后,支持编辑组织架构的认证策略和用户策略,且支持组织架构授权。 |
|
授权 |
选择对应的组织架构后,点击授权可对该组织进行应用授权,设定该组内的用户所具有的应用访问权限。 |
|
|
选择组织架构后,点击 |
建议使用Chrome浏览器访问!
