认证服务器

功能简介

认证服务器用于管理并校验用户账号信息。系统支持通用LDAP服务器和微软活动目录两种类型的认证服务器。

• 通用LDAP服务器：LDAP（Lightweight Directory Access Protocol，轻量目录访问协议），是一个开放的，用于访问存储在LDAP目录中信息的协议。LDAP目录中的信息按照树型结构存储。树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织（Organization）或组织单元（Organizational Unit）。一个组织单元可能包含用户、计算机、打印机等信息。LDAP作为一个统一认证的解决方案，适用于快速响应用户查询需求的场景，比如高并发的用户认证场景。

• 微软活动目录：AD（Active Directory，活动目录），是LDAP的一个应用实例，即Active Directory=LDAP服务器＋LDAP应用（Windows域控）。域控即域控制器，是活动目录的存放位置，包含了域中用户账户、密码、计算机等信息构成的数据库。用户只需要一个用户名和密码就可以访问域中允许其访问的所有资源。而用户修改密码时，只需修改一次，整个域都能识别并接受新密码。

使用场景

认证服务器适用于网络安全性要求高，用户管理集中的场景。

使用流程

1. 在管理平台新建“微软活动目录”或“通用LDAP服务器”类型认证服务器，即将已部署的认证服务器关联到管理平台。

2. 新建并同步认证服务器上的OU，即将认证服务器上用户信息同步到管理平台。

配置前提

已部署“微软活动目录”或“通用LDAP服务器”类型的认证服务器，且已在服务器中完成用户信息的配置。

注意事项

域用户使用的虚拟桌面需要加域，即桌面池需配置为“域用户”并指定OU；而LDAP认证的本地用户，其虚拟桌面无需加域。

新建认证服务器

·          系统支持配置多个“微软活动目录”或“通用LDAP服务器”类型的认证服务器。 ·          认证当服务器地址配置为域名时，云盘侧不能同步域配置。

 

1. 单击左侧导航树[系统/高级设置/服务器配置/认证服务器]菜单项，进入认证服务器页面。

2. 单击<新建认证服务器>按钮，进入新建认证服务器页面，设置认证服务器相关参数。

3. 单击<连通测试>按钮，测试管理平台与配置的认证服务器的连通性。

4. 待测试成功后，单击<保存>按钮完成操作。

参数说明

• 服务器地址：提供认证服务的服务器IP地址或域名，请确保当前管理平台服务器可ping通此处配置的IP地址或域名。如果环境为微软AD域主备模式或负载均衡模式，请勿配置IP地址，否则无法实现主备域的切换和负载均衡。

• 服务器类型：认证服务器的类型，包括通用LDAP服务器和微软活动目录，默认为微软活动目录。

• NETBIOS：Windows 2000版本之前的域服务器需要配置NETBIOS信息。认证服务器类型为“微软活动目录”时，该参数才可见。

• 服务器版本：认证服务器支持的版本，包括2、3，默认为3。

• 用户名属性名称：从认证服务器获取用户信息时，使用的用户名属性名称。当认证服务器类型为通用LDAP服务器时，默认用户名属性名称为cn；当认证服务器类型为微软活动目录时，默认用户名属性名称为sAMAccountName。

• 安全控制：用于设置认证服务器连接的安全性。

• 允许更新服务器数据：启用该项后默认启用安全连接，即允许管理员在管理平台管理认证服务器上的用户或用户分组。若不勾选，则管理员没有在管理平台上管理（如新建、编辑、删除等）域用户及分组，或LDAP用户及分组的权限。

• 启用安全连接：使用SSL协议连接域服务器来实现安全的通信。使用安全连接需确保认证服务器支持TLS 1.2协议。

• 认证加密方式：在管理平台新建或编辑LDAP用户时，用户密码的加密方式，当前仅支持MD5和SHA。

• 端口号：连接认证服务器的端口号，默认值为389。当启用安全连接后，该端口号默认值为636。

• Base DN：与认证服务器通信时使用的Base DN属性。输入服务器地址后单击<点击获取Base DN>按钮，系统将自动从服务器获取该参数，无需用户手动输入。

• 管理员DN：与认证服务器通信时使用的管理员DN属性。

• 当前管理员密码：与认证服务器通信时使用的管理员密码。

• 登录名属性名称：从认证服务器获取用户信息时，使用的登录名属性名称。当认证服务器类型为通用LDAP服务器时，默认登录名属性名称为cn；当认证服务器类型为微软活动目录时，默认登录名属性名称为sAMAccountName。

• 用户姓名属性名称：从LDAP认证服务器获取用户信息时，使用的用户姓名属性名称。

• 邮箱属性名称：从LDAP认证服务器获取用户信息时，使用的邮箱属性名称。

• 电话属性名称：从LDAP认证服务器获取用户信息时，使用的电话属性名称。

• 密码属性名称：从LDAP认证服务器获取用户信息时，使用的密码属性名称。

• 部门属性名称：从LDAP认证服务器获取用户信息时，使用的部门属性名称。

• 是否同步用户分组：用于设置是否允许通用LDAP服务器上的用户分组与管理平台本地数据库中的LDAP用户分组相互同步。该参数仅在配置“通用LDAP服务器”类型的认证服务器时才可见。

• 若选择“是”，则通用LDAP服务器上的用户分组及其分组下的用户都将同步到管理平台本地数据库；管理平台上对LDAP用户或用户分组的操作也将同步到通用LDAP服务器中。

• 若选择“否”，则通用LDAP服务器上的用户将同步到管理平台本地数据库，而LDAP用户分组将不会同步；管理平台上对LDAP用户或用户分组的操作，仅保存于管理平台本地数据，而不同步到通用LDAP服务器中。

• 唯一标识属性名称：自定义LDAP服务器上用户唯一标识符属性的名称。

• 用户过滤条件：管理平台获取LDAP认证服务器上的用户时的过滤条件。设置后，管理平台仅获取匹配过滤条件的用户。

• 分组过滤条件：管理平台获取LDAP认证服务器上的用户分组时的过滤条件。设置后，管理平台仅获取匹配过滤条件的用户分组。

• 域树配置：是否开启域树配置，开启后请配置域树相关参数，默认为关闭。域树包含树域和子域，配置与根域相互信任的域树形成域林后，桌面可加入到域林中的任一域中，新建或编辑桌面池时若不指定桌面OU，则部署桌面时默认选择域树OU。

• 域树地址：提供认证服务的域树服务器IP地址或域名，请确保当前管理平台服务器可ping通此处配置的IP地址或域名。

• 域树BaseDN：与域树认证服务器通信时使用的Base DN属性。输入服务器地址后单击<点击获取Base DN>按钮，系统将自动从域树服务器获取该参数，无需用户手动输入。

• 域树服务器版本：域树认证服务器支持的版本，包括2、3，默认为3。

• 域树端口：连接域树认证服务器的端口号，默认值为389。当启用安全连接后，该端口号默认值为636。

编辑认证服务器

1. 单击左侧导航树[系统/高级设置/服务器配置/认证服务器]菜单项，进入认证服务器页面。

2. 单击欲编辑认证服务器对应操作列的<编辑>按钮，修改认证服务器相关参数。关于参数的详细介绍，请参见参数说明。

3. 单击<连通测试>按钮，测试管理平台与配置的认证服务器的连通性。

4. 待测试成功后，单击<保存>按钮完成操作。

删除认证服务器

1. 单击左侧导航树[系统/高级设置/服务器配置/认证服务器]菜单项，进入认证服务器页面。

2. 单击欲删除认证服务器对应操作列的<删除>按钮，弹出操作确认对话框。

3. 单击<确定>按钮完成操作。