文档

旧版本 AD/LDAP 账户同步配置

更新时间:

IDaaS 可以通过 LDAP 配置从 AD 或 OpenLDAP 中拉取组织机构和账户信息。同时支持向 AD 或 OpenLDAP 的增量和全量同步。

新建LDAP配置

操作步骤

  1. 以IT管理员账号登录云盾IDaaS管理平台。

  2. 点击左侧导航栏账户 -> 机构及组

  3. 点击【配置LDAP】,新建LDAP配置,填入必填信息,开启从 IDaaS 同步至 LDAP。 

服务器链接:

  • 服务名称

  • 服务器地址和端口

  • Base DN

  • 是否使用 SSL 连接方式

  • 管理员账户和密码

  • 类型选择( Windows AD/OpenLDAP )

说明

IDaaS目前只支持公网访问,AD/LDAP需要提供公网地址,并开启389端口,可以在安全组策略设置只有IDaaS的出口IP可以访问AD/LDAP, IDaaS出口IP请提工单咨询IDaaS同学获取。

上述参数为LDAP连接的基本参数,请根据 LDAP 服务器的信息进行填写

  • 所属组织架构 OU 节点:填写后,可以将 LDAP 的数据导入 IDaaS 平台指定的组织机构下,不填则默认导入到 IDaaS 根目录下。

  • LDAP 同步至本系统:启用后,可以手动从 LDAP 同步数据到 IDaaS 系统

  • 本系统同步至 LDAP: 启用后,在 IDaaS 系统对组织机构和账户进行操作后,会自动同步到 LDAP,

配置好后可点击测试连接,测试AD/LDAP是否连接正常。

字段匹配规则:

说明

字段匹配规则为 IDaaS 中字段与 AD/LDAP 中属性的对应匹配

  • 账户名称:cn (如AD中的cn对应在IDaaS的账户名)

说明

如果您 AD 中的账户的 CN 字段值为中文,无法拉取到IDaaS。建议您使用 sAMAccountName 字段。

  • 外部id:Windows AD 填写 objectGUID, OpenLdap 填写 uid

  • 密码字段:Windows AD 填写 unicodePwd, OpenLdap 填写 userPassword

  • 用户唯一标识:Windows AD 填写 DistinguishedName, OpenLdap 填写 EntryDN

  • 手机字段:telephoneNumber

  • 邮箱字段:mail

  • 默认密码:定时从AD/LDAP 同步账户到IDaaS系统时的默认密码

  • 昵称:在IDaaS中账户的显示名称

从AD导入组织机构和账户

  • 导入组织机构 

    1. 在机构及组页面,点击导入-LDAP-组织机构。

    2. 选择添加的LDAP配置,点击导入。

    3. 页面会展示组织机构的临时数据。确认数据正确后,点击确定导入,即可将AD的组织机构全量导入到IDaaS。

  • 导入账户

    1. 机构及组页面,点击导入-LDAP-账户。

    2. 选择添加的LDAP配置,点击导入

    3. 页面会展示组织机构的临时数据。确认数据正确后,点击确定导入,即可将AD的组织机构全量导入到IDaaS 。 

导出组织机构或账户到AD

重要

导出组织机构及账户时,请确认已将父级组织机构导出到AD,否则会导出失败。

  • 导出组织机构 

    1. 在机构及组页面,点击导出-LDAP-组织机构。

    2. 勾选LDAP配置,再勾选需要导出的组织机构。

    3. 点击确定,成功导出后会显示如下提示。

  • 导出账户

    1. 在机构及组页面,点击导出-LDAP-账户。

    2. 勾选LDAP配置,再勾选需要导出账户的组织机构,点击确定即可将机构下的账户导出到AD。

    3. 切换到单个导出页签,也可以支持导出指定账户到AD。

通过上述步骤,即可将IDaaS组织机构和账户数据导出到AD。

FAQ

1. 是否可以实现定时自动从AD中同步账户到IDaaS?

支持。需要使用connector实现同步,只在专属版支持。

2. 是否可以只导入某个OU中的账户信息?

可以。需要新建ldap同步配置,不支持在原来配置上修改Base DN,在Base DN 中加上OU值。

1111

3. 新建LDAP配置,点击测试连接失败。

请求连接后需要比较久才返回结果,请查看网络是否通,IDaaS目前只支持公网访问;

请求连接后很快返回连接失败,请检查配置的连接参数是否正确,以及检查密码,密码会转义特殊字符,如 <>,单引号,双引号等。

4. 从IDaaS导出组织机构到LDAP,提示:导出失败,请检查配置。

往LDAP中导出组织机构是有层级结构的,请确认IDaaS中组织机构的根节点是否已经导出到LDAP中,如下图所示。

11

5. 从LDAP导入账户到IDaaS, 提示:InvalidUserLicense。

12

请查看购买的license数是否足够, 比如购买了100个license,导入的账户数超出了这个限制。可以先指定base DN 到某个OU, 先导入部分账户测试,或者升级license数量。

123

6. 从IDaaS导出组织机构到LDAP成功,但是导出账户提示导出成功0个。

123

请查看LDAP配置中的字段匹配规格是否正确,请参考下图参数配置。

1222
  • 本页导读 (0)
文档反馈