认证源-AD认证

添加AD服务器实例

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“配置 > 用户配置 > 认证源”，进入认证源管理页面。

4. 将光标悬停至“AD”上，单击“编辑”，右侧弹出配置窗口。
5. 单击“新建认证源”，右侧弹出新建认证源窗口。
6. 参见表1配置AD服务器实例，单击“测试连接”，测试连通性。连接成功后，单击“保存”。

   表1 AD认证参数说明

   参数名称	参数说明
   认证源名称	自定义名称，仅用于识别，不能重复。
   服务器地址	配置AD服务器的IP地址。
   备用服务器地址	配置AD备用服务器的IP地址，不设置则置空。
   域名	配置AD服务器的域名。
   端口	配置AD服务器的端口号，勾选SSL则使用SSL方式传输数据，安全性更好。
   Base DN	配置AD服务器的根节点，即AD服务器收到认证请求时目录查询的起始点。如：dc=test，dc=com，表示从域test.com服务器的根节点获取用户。
   认证通过后自动创建本地用户并绑定	勾选后，如果认证通过的用户在堡垒机中不存在，则会在堡垒机中自动创建该用户。
   登录认证时校验用户Base DN	勾选后，AD同步用户登录堡垒机时，会检查用户同步时配置的Base DN路径和当前AD服务器上的这个用户所在的Base DN是否一致。
   自动同步	开启后，系统将根据同步周期从AD服务器上同步用户信息到堡垒机。
   用户名	配置用户在AD服务器上的用户属性名和用户密码，不保存请留空。
   密码
   过滤器	配置过滤条件，符合条件的用户将被同步至堡垒机。
   同步内容	选择同步操作。 同步到：选择AD服务器侧同步过来的用户在堡垒机中的归属部门。 同步新建：勾选后，如果同步过来的组织/用户组/用户在堡垒机中不存在，则会在堡垒机中新建该组织（即部门）/用户组/用户。 同步更新：勾选后，如果堡垒机上已同步用户与AD服务器上的用户信息不一致时，会按照AD服务器上的信息同步更新，此功能要求用户的同步源为该认证源。 同步删除：勾选后，如果出现用户在堡垒机上存在，但AD服务器中不存在时，会同步删除，此功能要求用户的同步源为该认证源。 禁用用户：勾选后，如果出现用户在堡垒机上存在，但AD服务器中不存在时，会禁用该用户，此功能要求用户的同步源为该认证源。 不变更：勾选后，如果出现用户在堡垒机上存在，但AD服务器中不存在时，不会变更该用户，此功能要求用户的同步源为该认证源。
   默认用户平台角色	选择认证通过后在堡垒机中自动创建的用户的角色。
   用户属性映射	配置堡垒机本地用户属性和AD服务器上用户属性的映射关系，默认存在用户名属性映射。 单击“添加”，可新增姓名、邮箱、电话、备注等用户属性。

添加手动同步用户

如果开启自动同步功能，则会按照同步周期定期同步AD服务器实例上的用户信息，如果没有开启自动同步，可按照如下操作手动同步用户。

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“配置 > 用户配置 > 认证源”，进入认证源管理页面。

4. 将光标悬停至“AD”上，单击“编辑”，右侧弹出配置窗口。
5. 单击“同步用户”，立即从该AD服务器实例同步用户到堡垒机，同步的用户会显示在用户管理列表中。