更新时间:2024-12-18 GMT+08:00
分享

配置AD认证源

AD全称Active Directory,即活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员和用户查找所需信息。

为方便企业用户的认证登录,OneAccess通过LDAP协议把认证指向AD域,AD通过认证后,根据AD返回的用户属性与OneAccess用户关联属性做匹配校验,验证通过即可登录OneAccess。

本章节为您介绍配置AD认证源的相关操作。

前提条件

请确保您已拥有OneAccess管理门户的访问权限。

搭建AD服务器

windows server 2012 r2搭建域服务器为例。

  1. 打开服务管理器,选择右上方“管理 > 添加角色和功能”。
  2. 单击“下一步”,直到“选择服务器角色”页面,勾选“Active Directory域服务”选项,并在弹框中单击“确认添加”。
  3. 单击“下一步”,直到“安装”页面,单击“安装”,启动角色安装流程。
  4. 安装成功以后,单击右上方黄色三角提示标,单击“将此服务器提升为域控制器”,进入Active Directory域服务配置向导。

    图1 单击将此服务器提升为域控制器

  5. 在“部署配置”页面,选择“添加新林”,并设置域名(如:oneaccess.com)。
  6. 单击“下一步”,配置域服务器参数,输入DSRM的密码(非域用户)。
  7. 单击“下一步”,直到“安装”页面,单击“安装”,开始安装AD域服务器,安装完成后会自动重启。

创建域账号

  1. 选择右上方“工具 > Active Directory用户和计算机”
  2. 右键目标域,选择“新建 > 用户”,输入用户名称,单击“下一步”。
  3. 输入“姓氏”和“用户登录名”,单击“下一步”。如zhang@oneaccess.com。
  4. 填写域账号密码和确认密码。取消所有勾选框的检查(第一次登录时不需要更改密码)

    图2 创建对象

配置LDAP连接AD

  1. 下载并安装ApacheDirectoryStudio(LDAP客户端工具)。
  2. 选择“LDAP > New Connection”,填写连接参数。连接成功后,可以看到AD里的用户组织信息。

    图3 创建Connection
    图4 配置参数
    图5 查看数据

在OneAccess中添加AD认证源

  1. 登录OneAccess管理门户。
  2. 在导航栏中,选择“认证 > 认证源管理。
  3. 选择“企业认证源 > AD”。
  4. 在AD认证源页面,单击右上方“添加认证源”,配置参数。

    图6 配置参数
    表1 配置参数

    参数

    说明

    显示名称

    必填。认证源的显示名称,支持自定义。如AD认证。

    连接方式

    可选直接连接或通过云桥Agent连接。默认为直接连接。

    AD地址

    必填。AD连接地址。格式为ldap://{hostname}:{port}/,其中,{hostname}为AD服务器地址,端口为默认端口389。可参考配置LDAP连接AD

    rootDN

    必填。AD中的节点,会到该节点下认证用户。 格式为dc=,dc=。可参考配置LDAP连接AD

    域名

    选填。搭建AD服务器时设置的域名。如果填写,则将自动拼接登录名+@+域名作为查询条件,反之,只将登录名作为查询条件。可参考5

    查询条件

    必填。根据对象类和用户登录名进行查找,userPrincipalName可根据实际情况调整,占位符为{0}时,指带域名查询,页面输入值+域名,如zhangsan@companya.cn,无域名时,获取认证源域名属性值拼接后查询;占位符为{1}时,指原值查询,以页面输入值查询,如zhangsan。

    关联源属性

    必填。关联用户登录名AD用户的属性。如userPrincipalName。可在配置LDAP连接AD中获取。

    关联用户属性

    必填。AD在系统中映射的用户属性,唯一且为文本类型。

    未关联用户时

    必填。登录成功后,如未关联到系统用户,可以根据该配置操作。

    您可以按需定义用户属性,要求属性唯一且为文本类型。具体请参考添加扩展属性

在OneAccess中开启AD认证

  1. 在导航栏中,选择“资源 > 应用 ”进入应用页面。
  2. 在应用页面,单击“用户门户”进入应用信息页面。
  3. 单击用户门户图标进入通用信息页面。
  1. 选择“登录配置 > 网站应用”,单击认证方式名为“AD认证”操作列的开启AD认证,并关联在OneAccess中添加AD认证源中添加的认证源。

    开启AD认证时会占用密码登录方式的输入框,需要单击认证方式名为“密码认证”操作列禁用数据库认证方式。如果已开启LDAP认证,同时需要单击认证方式名为“LDAP认证”操作列禁用LDAP认证方式。

FAQ

  1. 创建域账号时,用户AD活动目录无法打开,提示域不存在或无法联系。
    1. 检查Netlogon和DFS服务是否已经启动。

    2. 运行net share命令,查看共享是否正常。

      如果异常,可将注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters中SysvolReady的键值改为1。再次运行net share命令,共享正常。

    3. 对于AD域的问题,主要还是查看事件查看器日志并通过DcDiag工具查询错误信息。
  2. 配置LDAP连接AD时,如果提示 [LDAP:error code 49-80090308:LdapErr:……AcceptSecurityContext error.data.52e.vece]。

    密码或凭证无效,用户名的格式为{用户名}@{域名}。

相关文档