LDAP认证

LDAP认证用于管理认证服务器和同步配置，认证服务器用于管理并校验用户账号信息，同步配置功能用于认证服务器配置完成后，管理平台从认证服务器同步OU（Organization Unit，组织单元）配置信息。

认证服务器

功能简介

认证服务器用于管理并校验用户账号信息。系统支持通用LDAP服务器和微软活动目录两种类型的认证服务器。

• 通用LDAP服务器：LDAP（Lightweight Directory Access Protocol，轻量目录访问协议），是一个开放的，用于访问存储在LDAP目录中信息的协议。LDAP目录中的信息按照树型结构存储。树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织（Organization）或组织单元（Organizational Unit）。一个组织单元可能包含用户、计算机、打印机等信息。LDAP作为一个统一认证的解决方案，适用于快速响应用户查询需求的场景，比如高并发的用户认证场景。

• 微软活动目录：AD（Active Directory，活动目录），是LDAP的一个应用实例，即Active Directory=LDAP服务器＋LDAP应用（Windows域控）。域控即域控制器，是活动目录的存放位置，包含了域中用户账户、密码、计算机等信息构成的数据库。用户只需要一个用户名和密码就可以访问域中允许其访问的所有资源。而用户修改密码时，只需修改一次，整个域都能识别并接受新密码。

使用场景

认证服务器适用于网络安全性要求高，用户管理集中的场景。

使用流程

1. 在管理平台新建“微软活动目录”或“通用LDAP服务器”类型认证服务器，即将已部署的认证服务器关联到管理平台。

2. 新建并同步认证服务器上的OU，即将认证服务器上用户信息同步到管理平台。

配置前提

已部署“微软活动目录”或“通用LDAP服务器”类型的认证服务器，且已在服务器中完成用户信息的配置。

注意事项

• 域用户使用的虚拟桌面需要加域，即桌面池需配置为“域用户”并指定OU；而LDAP认证的本地用户，其虚拟桌面无需加域。

• ARM架构主机暂不支持“微软活动目录”类型的认证服务器。

新建认证服务器

·          系统支持配置多个“微软活动目录”或“通用LDAP服务器”类型的认证服务器。 ·          认证当服务器地址配置为域名时，云盘侧不能同步域配置。

 

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击<新建认证服务器>按钮，进入新建认证服务器页面，设置认证服务器相关参数。

3. 单击<连通测试>按钮，测试管理平台与配置的认证服务器的连通性。

4. 待测试成功后，单击<保存>按钮完成操作。

• 服务器地址：提供认证服务的服务器IP地址或域名，请确保当前管理平台服务器可ping通此处配置的IP地址或域名。如果环境为微软AD域主备模式或负载均衡模式，请勿配置IP地址，否则无法实现主备域的切换和负载均衡。

• 服务器类型：认证服务器的类型，包括通用LDAP服务器和微软活动目录，默认为微软活动目录。

• NETBIOS：Windows 2000版本之前的域服务器需要配置NETBIOS信息。认证服务器类型为“微软活动目录”时，该参数才可见。

• 服务器版本：认证服务器支持的版本，包括2、3，默认为3。

• 用户名属性名称：从认证服务器获取用户信息时，使用的用户名属性名称。当认证服务器类型为通用LDAP服务器时，默认用户名属性名称为cn；当认证服务器类型为微软活动目录时，默认用户名属性名称为sAMAccountName。

• 安全控制：用于设置认证服务器连接的安全性。

• 允许更新服务器数据：启用该项后默认启用安全连接，即允许管理员在管理平台管理认证服务器上的用户或用户分组。若不勾选，则管理员没有在管理平台上管理（如新建、编辑、删除等）域用户及分组，或LDAP用户及分组的权限。

• 启用安全连接：使用SSL协议连接域服务器来实现安全的通信。

• 认证加密方式：在管理平台新建或编辑LDAP用户时，用户密码的加密方式，当前仅支持MD5和SHA。

• 端口号：连接认证服务器的端口号，默认值为389。当启用安全连接后，该端口号默认值为636。

• Base DN：与认证服务器通信时使用的Base DN属性。对于微软活动目录服务器类型，输入服务器地址后单击<点击获取Base DN>按钮，系统将自动从服务器获取该参数，无需用户手动输入。对于通用LDAP服务器类型，Base DN支持手动输入服务器上的OU。

• 管理员DN：与认证服务器通信时使用的管理员DN属性。

• 当前管理员密码：与认证服务器通信时使用的管理员密码。

• 登录名属性名称：从认证服务器获取用户信息时，使用的登录名属性名称。当认证服务器类型为通用LDAP服务器时，默认登录名属性名称为cn；当认证服务器类型为微软活动目录时，默认登录名属性名称为sAMAccountName。

• 用户姓名属性名称：从LDAP认证服务器获取用户信息时，使用的用户姓名属性名称。

• 邮箱属性名称：从LDAP认证服务器获取用户信息时，使用的邮箱属性名称。

• 电话属性名称：从LDAP认证服务器获取用户信息时，使用的电话属性名称。

• 密码属性名称：从LDAP认证服务器获取用户信息时，使用的密码属性名称。

• 部门属性名称：从LDAP认证服务器获取用户信息时，使用的部门属性名称。

• 是否同步用户分组：用于设置是否允许通用LDAP服务器上的用户分组与管理平台本地数据库中的LDAP用户分组相互同步。该参数仅在配置“通用LDAP服务器”类型的认证服务器时才可见。

• 若选择“是”，则通用LDAP服务器上的用户分组及其分组下的用户都将同步到管理平台本地数据库；管理平台上对LDAP用户或用户分组的操作也将同步到通用LDAP服务器中。

• 若选择“否”，则通用LDAP服务器上的用户将同步到管理平台本地数据库，而LDAP用户分组将不会同步；管理平台上对LDAP用户或用户分组的操作，仅保存于管理平台本地数据，而不同步到通用LDAP服务器中。

• 唯一标识属性名称：自定义LDAP服务器上用户唯一标识符属性的名称。

• 用户过滤条件：管理平台获取LDAP认证服务器上的用户时的过滤条件。设置后，管理平台仅获取匹配过滤条件的用户。

• 分组过滤条件：管理平台获取LDAP认证服务器上的用户分组时的过滤条件。设置后，管理平台仅获取匹配过滤条件的用户分组。

• 连接超时时间：管理平台或客户端尝试连接认证服务器的超时时间，默认为30s。在管理平台单击<连通测试>或<保存>按钮时，管理平台将持续尝试连接认证服务器，如果超出超时时间仍未连接成功，才会返回连接失败的消息。客户端登录时，也将持续尝试连接认证服务器，如果超出超时时间仍未连接成功，才会返回连接失败的消息。

• 信任域配置：是否开启信任域配置，开启后请配置信任域相关参数，默认为关闭。配置单向或双向信任的域控，配置信任域后，桌面可以选择加入到此域中。

• 信任方式：分为双向信任和单向信任，请针对实际域控的信任关系来选择，例如树域、子域是双向信任的关系。

• 信任域地址：提供认证服务的域控服务器IP地址或域名，请确保当前管理平台服务器可ping通此处配置的IP地址或域名。

• 信任域BaseDN：与域控认证服务器通信时使用的Base DN属性。输入服务器地址后单击<点击获取Base DN>按钮，系统将自动从域控服务器获取该参数，无需用户手动输入。

• 信任域服务器版本：域控认证服务器支持的版本，包括2、3，默认为3。

• 信任域端口：连接域控认证服务器的端口号，默认值为389。当启用安全连接后，该端口号默认值为636。

• 信任域管理员DN：与域控认证服务器通信时使用的管理员DN属性。

• 信任域管理员密码：与域控认证服务器通信时使用的管理员密码。

编辑认证服务器

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击欲编辑认证服务器对应操作列的<编辑>按钮，修改认证服务器相关参数。关于参数的详细介绍，请参见新建认证服务器。

3. 单击<连通测试>按钮，测试管理平台与配置的认证服务器的连通性。

4. 待测试成功后，单击<保存>按钮完成操作。

删除认证服务器

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击欲删除认证服务器对应操作列的<删除>按钮，弹出操作确认对话框。

3. 单击<确定>按钮完成操作。

立即同步所有OU

该功能用于立即同步列表中所有服务器上的OU。当通用LDAP服务器上存在登录名相同的用户时，请管理员先修改用户登录名后再进行同步。

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击列表上方的<立即同步所有OU>按钮，完成操作。

定时同步OU

该功能用于设置执行定时同步所有认证服务器上全部OU的时间。

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击列表上方的<定时同步OU>按钮，弹出定时同步OU对话框。

3. 设置定时同步配置的执行时间，单击<确定>按钮完成操作。

同步配置

该功能用于认证服务器配置完成后，管理平台从认证服务器同步OU（Organization Unit，组织单元）配置信息。一个组织单元OU是把对象组织成逻辑管理组的容器，其中包括一个或多个对象，如用户账号、组、计算机、打印机、应用、文件共享或其他OU等。

• “微软活动目录”类型的认证服务器，其配置信息可用于域用户及域用户分组，也可用于LDAP认证的管理员。

• “通用LDAP服务器”类型的认证服务器，其配置信息可用于LDAP用户及LDAP用户分组，也可用于LDAP认证的管理员。

注意事项

从认证服务器同步到管理平台的用户账户，若需在教育场景使用（如登录教师端、学生端或校园空间等），请先修改其用户类型为“教职工”或“学生”，具体操作请参见管理域用户及分组或管理LDAP用户和分组。

新建配置

在管理平台上新建配置信息，新建时可自定义配置名称，但子Base DN需为认证服务器上已存在的信息。

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 选择认证服务器列表中需新增同步配置的服务器，单击同步配置下的<新建>按钮，弹出新建对话框。

3. 设置名称并选择所在认证服务器上的子Base DN。

4. 选择勾选“同步增加到LDAP服务器”，勾选后新建配置将同步至LDAP认证服务器。

5. 单击<确定>按钮完成操作。

立即同步

该功能用于同步所选择认证服务器上的配置信息，如用户账号等。执行立即同步操作后，请刷新页面。当通用LDAP服务器上存在登录名相同的用户时，请管理员先修改用户登录名后再进行同步。

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 选择认证服务器列表中需立即同步的服务器，单击同步配置下的<立即同步>按钮，进行同步。

3. 可通过以下方式立即同步：

• 同步服务器上所有配置：单击列表上方<立即同步>按钮，开始同步所选认证服务器上所有OU信息。

• 同步服务器上指定配置：单击指定配置信息对应操作列的<立即同步>按钮，开始同步指定OU信息。

编辑配置

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击同步配置列表中欲编辑配置对应操作列的<编辑>按钮，弹出编辑对话框。

3. 编辑名称、子Base DN后，单击<确定>按钮完成操作。

删除配置

删除配置将一并删除对应配置下的用户和分组。

1. 单击左侧导航树[用户/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击同步配置列表中欲删除配置对应操作列的<删除>按钮，弹出操作确认对话框。

3. 单击<确定>按钮完成操作。