[LDAP自动同步]主要是用于将域服务器中的用户、组织结构、安全组同步到设备上,并且可以进行自动同步,设备每天会与域服务器自动同步一次,同步时间是凌晨0点-6点的一个随机时间。
[LDAP自动同步]分为两种类型的同步[按组织结构(OU)同步]和[按安全组同步(仅AD域)]。
按组织结构(OU)同步:适用于所有类型的LDAP服务器,按照这种方式同步时LDAP服务器中的OU会以用户组的形式同步到设备,并且OU的组织结构也会以相同的形式同步到设备,用户同步到设备仍然属于对应的OU组。
按安全组同步(仅AD域):仅适用于微软的LDAP服务器,即AD域。按照这种方式同步时,AD域服务器中的安全组会以用户组的形式同步到设备,安全组没有组织结构,设备会以平级的方式把安全组同步过来,即同步的安全组都是同一级别的组。
同步策略用于设置同步的相关参数,设置进行LDAP同步时,是根据同步策略中的设置进行同步的。
适用于所有类型的LDAP服务器,按照这种方式同步时LDAP服务器中的OU会以用户组的形式同步到设备,并且OU的组织结构也会以相同的形式同步到设备,用户同步到设备仍然属于对应的OU组。
某企业需要将LDAP服务器中的组织结构同步到设备中,并保持和LDAP服务器同步,需要AF配置LDAP自动同步。
1.设置需要同步的LDAP服务器,设置IP、端口、登陆用户名密码等信息,具体请参考外部认证服务器配置。
2.进入[用户认证/LDAP自动同步],点击<新增>,在弹出的[LDAP同步]窗口中设置同步参数。
3.在[LDAP同步]窗口中,设置策略名称、策略描述、同步工作模式、自动同步。[同步工作模式]选择按组织结构(OU)同步,自动同步选择启用,自动同步一天同步一次。
4.同步来源配置:用于设置需要同步的LDAP服务器的OU的相关信息。
LDAP服务器:用于设置需要同步的LDAP服务器,此处选择的服务器即为步骤一中设置的服务器。
从以下远程目标同步:用于指定需要同步LDAP服务器中哪些OU,点击<选择>,在窗口[组织结构选择]中选择需要同步的OU。选择完成后点击<确定>。
勾选从远程目标的根节点开始创建本地组织结构:表示LDAP中的根域名也会以组的形式同步过来,且同步的OU都是它的子组。
勾选从远程目标的当前选中节点开始创建本地组织结构:表示同步从所选的OU开始同步。
勾选从远程目标的当前选中节点的子节点开始创建本地组织结构:表示同步从所选OU的子OU开始同步,所选OU和所选OU的直属用户此时都不会同步到设备上。
导入OU的最大深度:用于设置导入的OU深度,此处设置的是10,表示从所选OU开始同步的话,它的9级子OU都能以用户组同步到设备,但是9级以下的OU不会以用户组同步到设备了,9级以下OU的用户还是可以同步到设备的,这些用户同步过来是属于第9级OU的。
过滤参数:用于设置同步的过滤参数。
5.[同步目标配置]:用于设置导入方式、同步的OU和用户被放置在设备组织结构的什么位置,并且可以设置同步用户的属性。
导入方式:用于选择同步时是否同步OU和用户,根据需求进行选择。
同步LDAP的OU组织结构和用户到本地:表示将OU作为用户组同步到设备上,同时将OU中的用户同步到OU对应的用户组下。
同步LDAP的用户到本地,忽略OU组织结构:表示将OU中的用户同步到设备上,但不同步OU。
同步LDAP的OU组织结构到本地,不导入用户:表示只将OU作为用户组同步到设备上,但不同步OU中的用户。此例中应该选择第一项,即同时同步OU和用户。
同步到本地的用户默认允许多人同时使用该账号登录:表示同步到设备的域账号默认是公用账号,即同一账号能够在多台计算机上登录,不勾选此项则表示用户是私有账号,只能同时在一台计算机上登录。
将远程目标导入到以下位置:用于指定设备中已有的一个组,同步过来的OU都会成为此处所选组的子组。在[组织结构选择]窗口选择相应的组,选择完成点击<确定>。
6.设置完同步策略,点击<确定>,添加策略完成。在[LDAP自动同步]页面查看添加的同步策略,点击<立即同步>可以立即进行同步,或等到自动一天一次进行同步。
7.点击立即同步后,查看同步的结果,[用户管理/组/用户]中查看[组织结构],如下图所示。此时导入的OU和用户同LDAP服务器中的完全一致。
当同步的OU或者用户同设备中已有的用户组或者用户同名时,LDAP中的OU或用户无法同步到设备。
当某些同步策略没用的时候,可以将同步策略删除,点击进入[LDAP同步]页面。勾选需要删除的同步策略,点击<删除>即可。同步策略删除不会影响之前已经同步到设备上的组和用户。
设备在每一次进行LDAP同步时,都会产生一份同步报告,便于您查看同步的情况。点击<查看同步报告>,在[同步报告]页面选择需要查看的同步报告,下载后即可查看。
建议使用Chrome浏览器访问!
