新建认证服务器

本功能用于将已部署的认证服务器关联到管理平台。系统支持通用LDAP服务器和微软活动目录两种类型的认证服务器。

• 通用LDAP服务器：LDAP（Lightweight Directory Access Protocol，轻量目录访问协议），是一个开放的，用于访问存储在LDAP目录中信息的协议。LDAP目录中的信息按照树型结构存储。树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织（Organization）或组织单元（Organizational Unit）。一个组织单元可能包含用户、计算机、打印机等信息。LDAP作为一个统一认证的解决方案，适用于快速响应用户查询需求的场景，比如高并发的用户认证场景。

• 微软活动目录：AD（Active Directory，活动目录），是LDAP的一个应用实例，即Active Directory=LDAP服务器＋LDAP应用（Windows域控）。域控即域控制器，是活动目录的存放位置，包含了域中用户账户、密码、计算机等信息构成的数据库。用户只需要一个用户名和密码就可以访问域中允许其访问的所有资源。而用户修改密码时，只需修改一次，整个域都能识别并接受新密码。

1. 单击左侧导航树[系统配置/认证对接/主要认证/LDAP认证]菜单项，进入LDAP认证页面。

2. 单击<新建认证服务器>按钮，进入新建认证服务器页面，设置认证服务器相关参数。

3. 单击<连通测试>按钮，测试管理平台与配置的认证服务器的连通性。

4. 待测试成功后，单击<保存>按钮完成操作。

   • 名称：名称可以作为用户客户端登录时的域名，对于Windows 2000之前版本的微软活动目录域控服务器，可将NETBIOS值配置到“名称”参数中，以支持用户通过“名称\用户名”的形式登录客户端。

   • 服务器地址：提供认证服务的服务器IP地址或域名，请确保当前管理平台服务器可ping通此处配置的IP地址或域名。如果环境为微软AD域主备模式或负载均衡模式，请勿配置IP地址，否则无法实现主备域的切换和负载均衡。

   • 服务器类型：认证服务器的类型，包括通用LDAP服务器和微软活动目录，默认为微软活动目录。

   • NETBIOS：Windows 2000版本之前的域服务器需要配置NETBIOS信息。认证服务器类型为“微软活动目录”时，该参数才可见。

   • 服务器版本：认证服务器支持的版本，包括2、3，默认为3。

   • 安全控制：用于设置认证服务器连接的安全性。

     • 允许更新服务器数据：启用该项后默认启用安全连接，即允许管理员在管理平台管理认证服务器上的用户或用户分组。若不勾选，则管理员没有在管理平台上管理（如新建、编辑、删除等）域用户及分组，或LDAP用户及分组的权限，但管理员可在用户管理页面启用/禁用本地维护电话功能来控制域用户电话同步情况。

     • 启用安全连接：使用SSL协议连接域服务器来实现安全的通信。使用安全连接需确保认证服务器支持TLS 1.2协议。

   • 认证密码加密方式：在管理平台新建或编辑LDAP用户时，用户密码的加密方式，当前仅支持MD5和SHA。认证服务器类型为“通用LDAP服务器”时，该参数才可见。

   • 端口号：连接认证服务器的端口号，默认值为389。当启用安全连接后，该端口号默认值为636。

   • Base DN：与认证服务器通信时使用的Base DN属性，输入服务器地址后单击Base DN选择框右侧图标，在列表中选择所需Base DN。

   • 管理员DN：与认证服务器通信时使用的管理员DN属性。

   • 当前管理员密码：与认证服务器通信时使用的管理员密码。

   • 登录名属性名称：从认证服务器获取用户信息时，使用的登录名属性名称。当认证服务器类型为通用LDAP服务器时，默认登录名属性名称为cn；当认证服务器类型为微软活动目录时，默认登录名属性名称为sAMAccountName。

   • 用户姓名属性名称：从LDAP认证服务器获取用户信息时，使用的用户姓名属性名称。

   • 邮箱属性名称：从LDAP认证服务器获取用户信息时，使用的邮箱属性名称。认证服务器类型为“通用LDAP服务器”时，该参数才可见。

   • 电话属性名称：从LDAP认证服务器获取用户信息时，使用的电话属性名称。

   • 密码属性名称：从LDAP认证服务器获取用户信息时，使用的密码属性名称。认证服务器类型为“通用LDAP服务器”时，该参数才可见。

   • 部门属性名称：从LDAP认证服务器获取用户信息时，使用的部门属性名称。认证服务器类型为“通用LDAP服务器”时，该参数才可见。

   • 是否同步用户分组：用于设置是否允许通用LDAP服务器上的用户分组与管理平台本地数据库中的LDAP用户分组相互同步。该参数仅在配置“通用LDAP服务器”类型的认证服务器时才可见。

     • 若选择“是”，则通用LDAP服务器上的用户分组及其分组下的用户都将同步到管理平台本地数据库；管理平台上对LDAP用户或用户分组的操作也将同步到通用LDAP服务器中。

     • 若选择“否”，则通用LDAP服务器上的用户将同步到管理平台本地数据库，而LDAP用户分组将不会同步；管理平台上对LDAP用户或用户分组的操作，仅保存于管理平台本地数据，而不同步到通用LDAP服务器中。

   • 唯一标识属性名称：自定义LDAP服务器上用户唯一标识符属性的名称。

   • 用户过滤条件：管理平台获取LDAP认证服务器上的用户时的过滤条件。设置后，管理平台仅获取匹配过滤条件的用户。

   • 分组过滤条件：管理平台获取LDAP认证服务器上的用户分组时的过滤条件。设置后，管理平台仅获取匹配过滤条件的用户分组。

   • 连接超时时间：管理平台或客户端尝试连接认证服务器的超时时间，默认为30秒。在管理平台单击<连通测试>或<保存>按钮时，管理平台将持续尝试连接认证服务器，如果超出超时时间仍未连接成功，才会返回连接失败的消息。客户端登录时，也将持续尝试连接认证服务器，如果超出超时时间仍未连接成功，才会返回连接失败的消息。

   • 信任域配置：是否开启信任域配置，开启后请配置信任域相关参数，默认为关闭。配置单向或双向信任的域控，配置信任域后，桌面可以选择加入到此域中。

   • 信任方式：分为双向信任和单向信任，请针对实际域控的信任关系来选择，例如树域、子域是双向信任的关系。

   • 信任域地址：提供认证服务的域控服务器IP地址或域名，请确保当前管理平台服务器可ping通此处配置的IP地址或域名。

   • 信任域BaseDN：与域控认证服务器通信时使用的Base DN属性。输入服务器地址后单击<点击获取Base DN>按钮，系统将自动从域控服务器获取该参数，无需用户手动输入。

   • 信任域服务器版本：域控认证服务器支持的版本，包括2、3，默认为3。

   • 信任域端口：连接域控认证服务器的端口号，默认值为389。当启用安全连接后，该端口号默认值为636。

   • 信任域管理员DN：与域控认证服务器通信时使用的管理员DN属性。

   • 信任域管理员密码：与域控认证服务器通信时使用的管理员密码。

   • 删除同步用户：启用后，同步OU时若认证服务器未返回某些用户信息，则管理平台本地数据库中存储的相应用户信息将被删除。