- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C Workspace云桌面
UOS桌面对接统信集中域管平台配置指导(办公场景)
资料版本:5W101-20231030
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
统信集中域管平台是一款全方位管理工具,可实现对操作系统的集中管理与运维,主要由人员管理、终端管理、策略中心、运维服务、软件管理、企业服务、日志审计、报表管理、消息中心、平台管理等模块组成。该平台可统一纳管AD域和LDAP域用户,以及平台自身的用户。
Workspace管理平台支持对接统信集中域管平台,以及同步域控平台上的用户。本文介绍在统信集中域管平台侧配置和在Workspace管理平台对接统信集中域管平台等一系列操作。
Workspace管理平台成功对接统信集中域管平台后,系统自动同步域管平台的域用户(包括AD域用户、LDAP用户和统信集中域管平台自身用户),域用户登录客户端后,在AD/LDAP域或统信集中域管平台进行认证,认证成功后,UOS桌面启动自动加域,客户端使用域用户登录UOS桌面,实现单点登录。
图1-1 AD/LDAP域用户对接逻辑图
图1-2 域管平台自身用户对接逻辑图
各版本中特性支持情况如下表。本文以E1016版本为例,其他版本的操作请以实际情况为准。
表2-1 特性支持说明
|
版本 |
说明 |
|
H3C-Workspace_E1015 |
特性首次发布 |
|
H3C-Workspace_E1016 |
管理平台UIUE优化 |
对接统信集中域管平台前,请参照下表完成相关准备工作。
表3-1 配置前准备
|
准备项 |
说明 |
|
Workspace管理平台 |
· 已完成管理平台的部署,并已配置可用空间充足的镜像存储路径 · 推荐管理平台已配置可访问外网的虚拟交换机,以便联网激活UOS系统和进入开发者模式 |
|
Union ID |
统信账号,可在统信UOS官网https://www.chinauos.com进行注册 |
|
UOS系统镜像 |
请从统信官网获取1050专业版本的UOS系统镜像ISO文件: · X86架构服务器请使用:uniontechos-desktop-20-professional-1050_amd64.iso · ARM架构服务器请使用:uniontechos-desktop-20-professional-1050_arm64.iso |
(1) 搭建统信集中域管平台
(2) 统信集中域管平台侧配置
a. 认证管理
b. 证书下载
(3) Workspace管理平台侧配置
a. 统信集中域管平台认证配置
b. 认证服务器配置
c. 制作UOS桌面镜像
d. 新建桌面池
e. 授权用户
(4) 用户登录
· 目前,H3C Workspace云桌面仅支持VDI类型的UOS桌面镜像,且仅UOS 1050版本云桌面支持对接统信集中域管平台。
· 对接统信集中域管平台AD、LDAP用户时,如有用户信息变更,需在统信集中域管平台手动同步或设置定时同步用户信息,保证所有用户已与平台同步。
· 删除管理平台上使用UOS域管的云桌面时,需要在统信集中域管平台的终端管理页面手动删除与桌面名称同名的终端信息。
· 统信集中域管平台所纳管的用户不支持在扩容接入节点场景使用。
· 需保证统信集中域管平台自身用户无多个用户重名的情况(不区分大小写),例如,ZhangSan和zhangsan视为重名。
搭建统信集中域管平台过程及详细步骤请从统信官方获取安装指导手册,本文以统信集中域管平台1.7.0版本为例。
认证管理包括添加认证源和数据源。其中,认证源是指统信集中域管平台提供的认证能力。平台部署成功,在平台创建人员并设置密码后,即可在加域终端使用该人员帐号进行登录认证,此时即通过统信集中域管平台的认证能力进行用户身份验证。数据源主要用于管理统信集中域管平台的用户来源,可以直接在平台维护用户数据。
用户可根据实际需要,添加统信集中域管平台自身用户,且系统默认添加平台认证源和数据源。
用户可根据实际需要,添加AD认证源,统一提供认证,同时添加数据源,可将AD域用户对接导入至统信集中域管平台,对用户统一进行管理。
(1) 登录统信集中域管平台,单击左侧导航树[人员管理/认证对接]菜单项,进入认证对接页面。
(2) 单击页面右上角的<添加AD认证源>按钮,进入认证源设置页面。
图6-1 添加AD认证源
(3) 配置相关参数,单击<保存>按钮,完成添加AD认证源。
图6-2 认证源设置
表6-1 认证源设置参数说明
|
参数名称 |
参数说明 |
|
认证源名称 |
AD域认证源的名称,可自定。 |
|
服务器地址 |
Windows AD服务器IP地址,如100.100.16.227。 |
|
端口号 |
AD服务器LDAP端口号,默认为389。 |
|
管理员账号 |
AD域服务器管理员帐号,如administrator。 |
|
管理员密码 |
AD域服务器管理员的密码。 |
|
域名 |
AD中的域名节点,域管会到该节点下进行认证,如show.com。 |
|
AD加密方式 |
包括NONE、SHA和MD5,根据实际情况选择。 |
|
更新域帐户密码 |
打开后,用户通过AD认证后,会将AD域的用户密码更新在域管平台中。 |
(4) AD认证源添加完成后,即会在认证源列表展示。可执行编辑源、删除源、启用/停用、连通测试等操作。
图6-3 AD认证源添加完成
统信集中域管平台只允许添加一个AD认证源。
(1) 登录统信集中域管平台,单击左侧导航树[人员管理/数据同步]菜单项,进入数据同步页面。
(2) 单击页面右上角的<添加AD数据源>按钮,进入数据源配置页面。
图6-4 添加AD数据源
(3) 在“服务器链接”页签下配置相关参数。
图6-5 服务器链接参数配置
|
参数名称 |
参数说明 |
|
数据源名称 |
认证源的名称,可自定。 |
|
服务器地址 |
服务器IP地址,与添加认证源时填的地址保持一致,如100.100.16.227。 |
|
端口号 |
服务器的端口号,默认为389。 |
|
管理员账号 |
服务器管理员帐号,如administrator。 |
|
管理员密码 |
服务器管理员的密码。 |
|
基准DN |
需要执行数据同步的域名,与添加认证源时填的域名保持一致,如show.com。此项在添加完成后不可更改,因为在平台与AD进行同步数据时,如果基准DN发生改变会使双方组织机构目录无法对应而导致数据同步失败。 |
|
基准OU |
需要执行数据同步的目标OU,若不输入,默认从域根节点下同步。平台支持配置多个基准OU配置,以便同时从多个OU进行数据同步。 |
|
连接方式 |
选择是否使用了SSL连接。 |
|
所属节点 |
AD数据导入域管平台后,在平台组织架构中的展示位置;若未进行设置,则默认将导入的数据展示在组织架构根节点下。 |
|
自动同步 |
启用后,可自动将数据从AD平台同步到域管平台。 |
|
AD密码回写 |
开启后,在域管平台里修改密码后,自动回写到AD域中,需保证平台密码规则和AD域密码规则保持一致。否则会回写失败。 |
(4) 在“字段匹配规则”页签下配置相关参数,单击<保存>按钮,完成操作。
图6-6 字段匹配规则参数配置
表6-3 字段匹配规则参数说明
|
参数名称 |
参数说明 |
|
账号 |
AD域中帐号对应的字段:sAMAccountName。 |
|
用户身份ID |
AD域中用户身份ID 对应的字段:objectGUID。 |
|
用户所属部门 |
AD域中用户所属部门对应的字段:OU。 |
|
部门名称 |
AD域中部门名称对应的字段。 |
|
邮箱 |
AD域中邮箱对应的字段:userPrincipalName。 |
|
手机号 |
AD域中手机号对应的字段:phone。 |
|
人员姓名 |
AD域中人员姓名对应的字段:name。 |
|
工号 |
AD域中工号对应的字段:jn。 |
|
部门编号 |
AD中部门编号对应的字段。 |
|
省/自治区 |
AD域中省/自治区对应的字段:st。 |
|
市/县 |
AD域中市/县对应的字段:l。 |
|
街道 |
AD域中街道对应的字段:streetAddress。 |
|
邮政编码 |
AD域中邮政编码对应的字段:postalCode。 |
|
上次登录时间 |
AD域中上次登录时间对应的字段:lastLogon。 |
|
上次修改密码时间 |
AD域中上次修改密码时间对应的字段:pwdLastSet。 |
|
账号状态 |
AD域中帐号状态对应的字段:userAccountControl。 |
|
默认密码 |
导入帐号的默认密码,长度限制8~32位,可自定义从AD域同步用户的默认密码。 |
(5) AD数据源添加完成后,即会在数据源列表展示。
图6-7 AD数据源添加完成
统信集中域管平台只允许添加一个AD数据源。
用户可根据实际需要,添加LDAP认证源,统一提供认证,同时添加数据源,可将LDAP用户对接导入至统信集中域管平台,对用户统一进行管理。
(1) 登录统信集中域管平台,单击左侧导航树[人员管理/认证对接]菜单项,进入认证对接页面。
(2) 单击页面右上角的<添加LDAP认证源>按钮,进入认证源设置页面。
图6-8 添加LDAP认证源
(3) 配置相关参数,单击<保存>按钮,完成添加LDAP认证源。
图6-9 认证源设置
表6-4 认证源设置参数说明
|
参数名称 |
参数说明 |
|
认证源名称 |
LDAP域认证源的名称,可自定。 |
|
服务器地址 |
LDAP服务器IP地址,如100.100.0.42 |
|
端口号 |
LDAP服务器的端口号。 |
|
管理员账号 |
LDAP域服务器管理员帐号,如administrator。 |
|
管理员密码 |
LDAP域服务器管理员的密码。 |
|
域名 |
LDAP中的域名节点,域管会到该节点下进行认证,如deft.com。 |
|
LDAP加密方式 |
包括NONE、SHA和MD5,根据实际情况选择。 |
|
更新域账户密码 |
打开后,用户通过LDAP认证后,会将LDAP域的用户密码更新在域管平台中。 |
(4) LDAP认证源添加完成后,即会在认证源列表展示。可执行编辑源、删除源、启用/停用、连通测试等操作。
图6-10 LDAP认证源添加完成
统信集中域管平台只允许添加一个LDAP认证源。
(5) 登录统信集中域管平台,单击左侧导航树[人员管理/数据同步]菜单项,进入数据同步页面。
(6) 单击页面右上角的<添加LDAP数据源>按钮,进入数据源配置页面。
图6-11 添加LDAP数据源
(7) 在“服务器链接”页签下配置相关参数。
图6-12 服务器链接参数配置
表6-5 服务器连接参数说明
|
参数名称 |
参数说明 |
|
数据源名称 |
认证源的名称,可自定。 |
|
服务器地址 |
服务器IP地址,与添加认证源时填的地址保持一致,如100.100.16.227。 |
|
端口号 |
服务器的端口号,默认为389。 |
|
管理员账号 |
服务器管理员帐号,如administrator。 |
|
管理员密码 |
服务器管理员的密码。 |
|
基准DN |
需要执行数据同步的域名,与添加认证源时填的域名保持一致,如show.com。此项在添加完成后不可更改,因为在平台与LDAP进行同步数据时,如果基准DN发生改变会使双方组织机构目录无法对应而导致数据同步失败。 |
|
基准OU |
需要执行数据同步的目标OU,若不输入,默认从域根节点下同步。平台支持配置多个基准OU配置,以便同时从多个OU进行数据同步。 |
|
连接方式 |
选择是否使用了SSL连接。 |
|
所属节点 |
LDAP数据导入域管平台后,在平台组织架构中的展示位置;若未进行设置,则默认将导入的数据展示在组织架构根节点下。 |
|
自动同步 |
启用后,可自动将数据从LDAP平台同步到域管平台。 |
|
LDAP密码回写 |
开启后,在域管平台里修改密码后,自动回写到LDAP域中,需保证平台密码规则和LDAP域密码规则保持一致。否则会回写失败。 |
(8) 在“字段匹配规则”页签下配置相关参数,单击<保存>按钮,完成操作。
图6-13 字段匹配规则参数配置
表6-6 字段匹配规则参数说明
|
参数名称 |
参数说明 |
|
账号 |
LDAP中帐号对应的字段:cn。 |
|
用户身份ID |
LDAP中用户身份ID 对应的字段:entryUUID。 |
|
用户所属部门 |
LDAP中用户所属部门对应的字段:OU。 |
|
部门名称 |
LDAP中部门名称对应的字段。 |
|
邮箱 |
LDAP中邮箱对应的字段:mail。 |
|
手机号 |
LDAP中手机号对应的字段:mobile。 |
|
人员姓名 |
LDAP中人员姓名对应的字段:name。 |
|
工号 |
LDAP中工号对应的字段:jn。 |
|
部门编号 |
LDAP部门编号对应的字段。 |
|
省/自治区 |
LDAP中省/自治区对应的字段:st。 |
|
市/县 |
LDAP中市/县对应的字段。 |
|
街道 |
LDAP中街道对应的字段:street。 |
|
邮政编码 |
LDAP中邮政编码对应的字段:postalCode。 |
|
上次登录时间 |
LDAP中上次登录时间对应的字段。 |
|
上次修改密码时间 |
LDAP中上次修改密码时间对应的字段。 |
|
账号状态 |
LDAP中帐号状态对应的字段。 |
|
默认密码 |
导入帐号的默认密码,长度限制8~32位。 |
(9) LDAP数据源添加完成后,即会在数据源列表展示。
图6-14 AD数据源添加完成
统信集中域管平台只允许添加一个LDAP数据源。
统信集中域管平台提供API接口能力,需要通过应用注册的方式,来获取接口调用的证书,用于接口通讯。
(1) 登录统信集中域管平台,单击左侧导航树[企业服务/API管理]菜单项,进入API管理页面。
(2) 单击右上角<新建应用>按钮,弹出新建应用对话框。
图6-15 API管理页面
(3) 配置应用名称及备注描述后,单击<提交生成证书>按钮,弹出等待处理提示对话框。
图6-16 新建应用
(4) 单击<查看证书详情>按钮,进入应用详情页面。
图6-17 等待处理提示
(5) 单击“OpenAPI”页签,单击<编辑>按钮。
图6-18 OpenAPI页面
(6) 勾选调用范围和事件并配置URL,格式为“http://<Workspace管理平台IP>:8083/vdi/uoshooks”,单击<保存>按钮。
图6-19 OpenAPI参数配置
(7) 在“应用详情”页签下,单击<下载证书>按钮,下载证书。
图6-20 下载证书
Workspace管理平台支持对接统信集中域管系统,同步域管平台自身的用户、域管平台所纳管的AD域用户或LDAP域用户。
(1) 单击左侧导航树[系统配置/认证对接/主要认证/统信集中域管平台认证]菜单项,进入统信集中域管平台认证页面。
图6-21 统信集中域管平台认证
(2) 单击服务器信息后的
图标,输入相关参数,单击<点击上传>按钮,上传6.2.2 证书下载所下载的证书。
(3) 单击<保存>按钮完成配置,系统自动同步统信集中域管平台数据。
图6-22 配置服务器信息
表6-7 统信集中域管平台认证参数
|
参数名称 |
参数说明 |
|
企业代号 |
统信集中域管平台所属企业代号。域管平台所纳管的用户与Workspace管理平台其他用户重名时,统信域用户登录客户端的用户名格式为“企业代号\登录名”或“认证服务器域名\登录名”,具体场景说明请参见6.4.1 客户端登录说明。企业代号不能和LDAP认证服务器名称重复。 |
|
域管平台地址 |
统信集中域管平台的地址,允许输入IP地址或域名。若要使用域名,且未配置DNS时,需修改管理节点的hosts文件,增加IP和域名信息,详细步骤请参见7.1 配置管理节点hosts文件。 |
|
域管平台端口 |
统信集中域管平台的端口,与域管平台的部署方式有关。若域管平台使用IP方式部署,端口号可以指定,若是域名部署,端口号为443。 |
|
OpenAPI地址 |
部署域管平台时配置的第三方调用域管平台的地址。 |
|
OpenAPI端口 |
部署域管平台时配置的第三方调用域管平台的接口。 |
(4) 统信集中域管平台对接成功后,管理平台左侧导航中将显示统信域用户菜单项,单击左侧导航树[用户/统信域用户],进入统信域用户页面查看用户信息。
图6-23 统信域用户
当用户类型为AD域用户或LDAP用户时,需配置通用LDAP服务器或微软活动目录类型的认证服务器,并进行同步。具体步骤请参见《H3C Workspace云桌面 对接LDAP认证服务器配置指导》中“配置认证服务器”和“同步OU”章节。
制作UOS桌面镜像的具体操作步骤请参见《H3C Workspace云桌面 UOS桌面镜像配置指导(办公场景)》。
其中,在USB安装完成后,安装域控组件前,系统将提示“Continue installing the domain package?(yes/no)”。此时输入yes,按回车键。然后提示“Which components need to be installed?(ad/udcp)”。输入udcp,按回车键,将继续安装域控组件。
图6-24 虚拟机加域提示-1
图6-25 虚拟机加域提示-2
完成UOS桌面镜像制作后,依次完成发布桌面镜像和新建桌面池步骤,具体操作步骤请参见《H3C Workspace云桌面 业务快速部署指导(办公场景)》。
其中,在新建桌面池配置登录信息时,认证用户类型选择“统信域用户”,根据实际需要选择认证服务器,包括统信集中域管平台认证服务器、通用LDAP服务器和微软活动目录的认证服务器。其中,使用统信集中域管平台自身用户时,选择统信集中域管平台认证服务器,使用AD域用户或LDAP用户时,选择对应的认证服务器。
图6-26 新建桌面池登录信息配置
完成新建桌面池后,部署新的桌面,然后将桌面授权给桌面池所选择认证服务器中的用户,具体操作步骤请参见《H3C Workspace云桌面 业务快速部署指导(办公场景)》。
对接统信集中域管平台时,用户直接使用用户名登录客户端,可能出现因用户重名而提示未分配桌面的情况。此时,登录名需按照“企业代号\用户名”或“认证服务器域名\用户名”格式填写,具体场景说明请参见表6-8。
|
场景 |
AD/LDAP认证服务器 |
桌面池的认证服务器 |
客户端登录用户名 |
|
系统中只有UOS系统桌面 |
无 |
统信集中域管平台认证服务器 |
可不加统信企业代号 |
|
系统中存在各类操作系统的桌面 |
有 |
AD/LDAP认证服务器 |
必须加上认证服务器域名 |
|
系统中存在各类操作系统的桌面 |
有 |
统信集中域管平台认证服务器 |
必须加上对应企业代号 |
(1) 运行Workspace客户端,用户登录并连接桌面。
(2) 在设置中,[通用/域管理]页面可查看桌面加域情况。
图6-27 查看桌面加域情况
配置统信集中域管平台认证时,域管平台地址允许输入IP地址或域名,使用域名时,若未配置DNS域名解析,则需修改管理节点的hosts文件,增加IP和域名信息、以及OpenApi地址。
(1) 使用root账号登录管理节点后台,输入vim /etc/hosts命令,进入编辑hosts文件页面。
图7-1 编辑hosts文件
(2) 按<i>键后,在末尾新增IP和域名信息、以及OpenApi地址,修改完成后按<ESC>键退出编辑模式,输入:wq并按回车键,保存修改并退出。
图7-2 新增域名信息和OpenApi地址
表8-1 相关文档
|
资料 |
获取方式 |
|
H3C Workspace云桌面 业务快速部署指导(办公场景) |
|
|
H3C Workspace云桌面 UOS桌面镜像配置指导(办公场景) |
|
|
H3C Workspace云桌面 管理平台用户手册 |
支持
售前咨询
售后咨询
人工在线咨询
