配置AD认证源
AD全称Active Directory,即活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员和用户查找所需信息。
为方便企业用户的认证登录,OneAccess通过LDAP协议把认证指向AD域,AD通过认证后,根据AD返回的用户属性与OneAccess用户关联属性做匹配校验,验证通过即可登录OneAccess。
本章节为您介绍配置AD认证源的相关操作。
前提条件
请确保您已拥有OneAccess管理门户的访问权限。
搭建AD服务器
以windows server 2012 r2搭建域服务器为例。
- 打开服务管理器,选择右上方“管理 > 添加角色和功能”。
- 单击“下一步”,直到“选择服务器角色”页面,勾选“Active Directory域服务”选项,并在弹框中单击“确认添加”。
- 单击“下一步”,直到“安装”页面,单击“安装”,启动角色安装流程。
- 安装成功以后,单击右上方黄色三角提示标,单击“将此服务器提升为域控制器”,进入Active Directory域服务配置向导。
图1 单击将此服务器提升为域控制器
- 在“部署配置”页面,选择“添加新林”,并设置域名(如:oneaccess.com)。
- 单击“下一步”,配置域服务器参数,输入DSRM的密码(非域用户)。
- 单击“下一步”,直到“安装”页面,单击“安装”,开始安装AD域服务器,安装完成后会自动重启。
创建域账号
- 选择右上方“工具 > Active Directory用户和计算机”。
- 右键目标域,选择“新建 > 用户”,输入用户名称,单击“下一步”。
- 输入“姓氏”和“用户登录名”,单击“下一步”。如zhang@oneaccess.com。
- 填写域账号密码和确认密码。取消所有勾选框的检查(第一次登录时不需要更改密码)。
图2 创建对象
配置LDAP连接AD
- 下载并安装ApacheDirectoryStudio(LDAP客户端工具)。
- 选择“LDAP > New Connection”,填写连接参数。连接成功后,可以看到AD里的用户组织信息。
图3 创建Connection
图4 配置参数
图5 查看数据
在OneAccess中添加AD认证源
- 登录OneAccess管理门户。
- 在导航栏中,选择“认证 > 认证源管理。
- 选择“企业认证源 > AD”。
- 在AD认证源页面,单击右上方“添加认证源”,配置参数。
表1 配置参数 参数
说明
显示名称
必填。认证源的显示名称,支持自定义。如AD认证。
连接方式
可选直接连接或通过云桥Agent连接。默认为直接连接。
AD地址
必填。AD连接地址。格式为ldap://{hostname}:{port}/,其中,{hostname}为AD服务器地址,端口为默认端口389。可参考配置LDAP连接AD。
rootDN
必填。AD中的节点,会到该节点下认证用户。 格式为dc=,dc=。可参考配置LDAP连接AD。
域名
选填。搭建AD服务器时设置的域名。如果填写,则将自动拼接登录名+@+域名作为查询条件,反之,只将登录名作为查询条件。可参考5。
查询条件
必填。根据对象类和用户登录名进行查找,userPrincipalName可根据实际情况调整,占位符为{0}时,指带域名查询,页面输入值+域名,如zhangsan@companya.cn,无域名时,获取认证源域名属性值拼接后查询;占位符为{1}时,指原值查询,以页面输入值查询,如zhangsan。
关联源属性
必填。关联用户登录名AD用户的属性。如userPrincipalName。可在配置LDAP连接AD中获取。
关联用户属性
必填。AD在系统中映射的用户属性,唯一且为文本类型。
未关联用户时
必填。登录成功后,如未关联到系统用户,可以根据该配置操作。
您可以按需定义用户属性,要求属性唯一且为文本类型。具体请参考添加扩展属性。
在OneAccess中开启AD认证
- 在导航栏中,选择“资源 > 应用 ”进入应用页面。
- 在应用页面,单击“用户门户”进入应用信息页面。
- 单击用户门户图标进入通用信息页面。
- 选择“登录配置 > 网站应用”,单击认证方式名为“AD认证”操作列的开启AD认证,并关联在OneAccess中添加AD认证源中添加的认证源。
开启AD认证时会占用密码登录方式的输入框,需要单击认证方式名为“密码认证”操作列禁用数据库认证方式。如果已开启LDAP认证,同时需要单击认证方式名为“LDAP认证”操作列禁用LDAP认证方式。
FAQ
- 创建域账号时,用户AD活动目录无法打开,提示域不存在或无法联系。
- 配置LDAP连接AD时,如果提示 [LDAP:error code 49-80090308:LdapErr:……AcceptSecurityContext error.data.52e.vece]。