更新时间:2026-05-14 GMT+08:00
认证源-LDAP认证
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol),是互联网上目录服务的通用访问协议。LDAP服务器是用于查询和更新LDAP目录的服务器,包括用户账号目录,可以有效解决众多网络服务的用户账户问题。
- 登录堡垒机系统。
- 单击
,将控制台切换到“管理控制台”模式。 - 在左侧导航树,选择“配置 > 用户配置 > 认证源”,进入认证源管理页面。
- 将光标悬停至“LDAP”上,单击“编辑”,右侧弹出配置窗口,参见表1配置LDAP服务器,单击“测试连接”,测试连通性。连接成功后,单击“仅保存”或“保存并同步”。
- 仅保存:仅保存当前配置的LDAP服务器信息。
- 保存并同步:保存当前配置的LDAP服务器信息,同时根据配置的同步内容手动同步LDAP上的组织、用户组和用户。
表1 LDAP认证参数说明 参数名称
参数说明
状态
开启或关闭LDAP认证,开启后用户登录时才会尝试该认证源认证。
认证源名称
自定义名称,仅用于识别,不能重复。
服务器地址
配置LDAP服务器的IP地址。
备用服务器地址
配置LDAP备用服务器的IP地址。
端口
配置LDAP服务器的端口号。
Base DN
配置LDAP服务器的根节点,即LDAP服务器收到认证请求时目录查询的起始点。如:dc=test,dc=com,表示从域test.com服务器的根节点获取用户。
认证通过后自动创建本地用户并绑定
勾选后,如果认证通过的用户在堡垒机中不存在,则会在堡垒机中自动创建该用户。
登录认证时校验用户Base DN
勾选后,LDAP同步用户登录堡垒机时,会检查用户同步时配置的Base DN路径和当前LDAP服务器上的这个用户所在的Base DN是否一致。
自动同步
开启后,系统将根据同步周期从LDAP服务器上同步用户信息到堡垒机。
用户名
配置用户在LDAP服务器上的用户属性名和用户密码,不保存请留空。
密码
过滤器
配置过滤条件,符合条件的用户将被同步至堡垒机。
同步内容
选择同步操作。
- 同步到:选择LDAP服务器侧同步过来的用户在堡垒机中的归属部门。
- 同步新建:勾选后,如果同步过来的组织/用户组/用户在堡垒机中不存在,则会在堡垒机中新建该组织(即部门)/用户组/用户。
- 同步更新:勾选后,如果堡垒机上已同步用户与LDAP服务器上的用户信息不一致时,会按照LDAP服务器上的信息同步更新,此功能要求用户的同步源为该认证源。
- 同步删除:勾选后,如果出现用户在堡垒机上存在,但LDAP服务器中不存在时,会同步删除,此功能要求用户的同步源为该认证源。
- 禁用用户:勾选后,如果出现用户在堡垒机上存在,但LDAP服务器中不存在时,会禁用该用户,此功能要求用户的同步源为该认证源。
- 不变更:勾选后,如果出现用户在堡垒机上存在,但LDAP服务器中不存在时,不会变更该用户,此功能要求用户的同步源为该认证源。
默认用户角色
选择认证通过后在堡垒机中自动创建的用户的角色。
用户属性映射
配置堡垒机本地用户属性和LDAP服务器上用户属性的映射关系,默认存在用户名属性映射。
单击“添加”,可新增姓名、邮箱、电话、备注等用户属性。
父主题: 用户配置
