全部產品
Search
文件中心

:配置AD或LDAP認證

更新時間:Jun 30, 2024

Bastionhost支援與AD或LDAP伺服器對接,可將AD或LDAP伺服器使用者同步到Bastionhost作為Bastionhost使用者。本文介紹如何配置AD或LDAP認證。

前提條件

配置AD或LDAP認證前,您需要先部署好AD或LDAP環境,並保證Bastionhost可以正常訪問AD或LDAP伺服器。

配置AD證明伺服器

Bastionhost支援配置多個AD伺服器。如需將AD伺服器多個域的使用者或多條Base DN下的使用者同步至Bastionhost,首先您需要配置多個AD證明伺服器,然後再把各伺服器中的使用者匯入至Bastionhost,並在完成資產授權之後,目標使用者即可通過Bastionhost營運資產。

  1. 登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。

  2. 在Bastionhost執行個體列表,定位到目標執行個體,單擊管理

  3. 在左側導覽列,單擊系統設定

  4. AD認證頁簽,單擊添加證明伺服器

  5. 添加證明伺服器面板,參考下表配置AD證明伺服器,單擊測試連接

    配置項

    說明

    AD證明伺服器名稱

    可以通過設定不同AD證明伺服器的名稱加以區分。

    設為預設伺服器

    勾選後,建立完成的證明伺服器將替換原來的預設伺服器成為新的預設伺服器。

    說明

    API目前僅支援修改預設伺服器配置。企業雙擎版最多支援10個AD證明伺服器。基礎版最多支援1個AD證明伺服器。

    伺服器位址

    證明伺服器的串連地址。

    待命伺服器地址

    可選。待命伺服器的串連地址,沒有待命伺服器請留空。

    連接埠

    伺服器的連接埠。

    SSL

    如果AD證明伺服器上安裝了SSL認證,需要勾選此項。

    Base DN

    伺服器中設定的使用者目錄節點。

    說明

    使用者量過大時匯入將會耗時較長,建議在伺服器中設定此Base DN下的使用者總數在10萬以內再進行匯入。

    要匯入Bastionhost中的使用者所在域。

    賬戶

    證明伺服器的帳號。

    密碼

    證明伺服器的密碼。

    過濾器

    查詢服務器上使用者時定製查詢結果的條件。

    自動同步處理的使用者快照間隔時間

    自動將證明伺服器中使用者列表同步到本地快照的時間。

    同步姓名

    填寫遠程伺服器上表示使用者姓名的屬性名稱,例如fullName,留空將採用預設值cn進行同步。取消勾選將不同步該屬性。

    說明

    登入Bastionhost時按照使用者名稱進行校正,不按照姓名校正,預設同步遠程伺服器上的sAMAccountName屬性值作為登入名稱。

    同步郵箱

    填寫遠程伺服器上表示使用者郵箱的屬性名稱。例如mail,留空將採用預設值mail進行同步。取消勾選將不同步該屬性。

    同步手機號

    填寫遠程伺服器上表示使用者手機號碼的屬性名稱,例如mobile,留空將採用預設值mobile進行同步。取消勾選將不同步該屬性。

    將使用者所在組織同步為使用者組

    開啟時,每個添加到Bastionhost上的AD使用者,其所屬的組織自動同步為Bastionhost上的使用者組,並將該使用者自動關聯到該使用者組中。

    • Bastionhost最多支援500個使用者組,超出此數量限制的使用者組不會同步建立。

    • 首次同步後,伺服器上組織的增、刪、改不會繼續同步到Bastionhost上。

  6. 串連成功後,單擊儲存

    如果您需要自動同步AD使用者快照,請單擊立即同步處理的使用者快照,或者設定自動同步處理的使用者快照間隔時間定時將證明伺服器中使用者列表同步到本地快照。在匯入AD使用者時,將從本地快照中讀取使用者資料,降低匯入AD使用者操作效能消耗。

配置LDAP證明伺服器

  1. 登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。

  2. 在Bastionhost執行個體列表,定位到目標執行個體,單擊管理

  3. 在左側導覽列,單擊系統設定

  4. LDAP認證頁簽,參考下表配置LDAP證明伺服器,單擊測試連接

    配置項

    說明

    伺服器位址

    證明伺服器的串連地址。

    待命伺服器地址

    可選。待命伺服器的串連地址,沒有待命伺服器請留空。

    連接埠

    伺服器的連接埠。

    SSL

    如果LDAP證明伺服器上安裝了SSL認證,需要勾選此項。

    Base DN

    伺服器中設定的使用者目錄節點。

    說明

    使用者量過大時匯入將會耗時較長,建議在伺服器中設定此Base DN下的使用者總數在10萬以內再進行匯入。

    賬戶

    證明伺服器的帳號。

    密碼

    證明伺服器的密碼。

    過濾器

    查詢服務器上使用者時定製查詢結果的條件。

    登入名稱屬性

    設定使用者登入時需要校正的登入名稱在LDAP伺服器上的對應值,預設值為uid。

    自動同步處理的使用者快照間隔時間

    自動將證明伺服器中使用者列表同步到本地快照的時間。

    同步姓名

    填寫遠程伺服器上表示使用者姓名的屬性名稱,例如fullName,留空將採用預設值cn進行同步。取消勾選將不同步該屬性。

    說明

    登入Bastionhost時按照使用者名稱進行校正,不按照姓名校正,預設同步遠程伺服器上的uid屬性值作為登入名稱。

    同步郵箱

    填寫遠程伺服器上表示使用者郵箱的屬性名稱。例如mail,留空將採用預設值mail進行同步。取消勾選將不同步該屬性。

    同步手機號

    填寫遠程伺服器上表示使用者手機號碼的屬性名稱,例如mobile,留空將採用預設值mobile進行同步。取消勾選將不同步該屬性。

  5. 串連成功後,單擊儲存

    • 如果您不再使用LDAP認證,單擊清除配置,即可快速清除LDAP認證配置資訊。

      警告

      清除配置後,LDAP使用者也會同步清除,請您謹慎操作。

    • 如果您需要自動同步LDAP使用者快照,請單擊立即同步處理的使用者快照,或者設定自動同步處理的使用者快照間隔時間定時將證明伺服器中使用者列表同步到本地快照。在匯入LDAP使用者時,將從本地快照中讀取使用者資料,降低匯入LDAP使用者操作效能消耗。