全部产品

LDAP账户同步配置

更新时间:2021-01-07 16:40

IDaaS 可以通过 LDAP 配置从 AD 或 OpenLDAP 中拉取组织机构和账户信息。同时支持向 AD 或 OpenLDAP 的增量和全量同步。

新建LDAP配置

操作步骤

  1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考 登录

  2. 点击左侧导航栏账户 -> 机构及组

  3. 点击【配置LDAP】,新建LDAP配置,填入必填信息,开启从 IDaaS 同步至 LDAP。

服务器链接:

  • 服务名称

  • 服务器地址和端口

  • Base DN

  • 是否使用 SSL 连接方式

  • 管理员账户和密码

  • 类型选择( Windows AD/OpenLDAP )

说明

IDaaS目前只支持公网访问,AD/LDAP需要提供公网地址,并开启389端口,可以在安全组策略设置只有IDaaS的出口IP可以访问AD/LDAP, IDaaS出口IP请提工单咨询IDaaS同学获取。

上述参数为LDAP连接的基本参数,请根据 LDAP 服务器的信息进行填写

  • 所属组织架构 OU 节点:填写后,可以将 LDAP 的数据导入 IDaaS 平台指定的组织机构下,不填则默认导入到 IDaaS 根目录下。

  • LDAP 同步至本系统:启用后,可以手动从 LDAP 同步数据到 IDaaS 系统

  • 本系统同步至 LDAP: 启用后,在 IDaaS 系统对组织机构和账户进行操作后,会自动同步到 LDAP,

配置好后可点击测试连接,测试AD/LDAP是否连接正常。

字段匹配规则:

说明

字段匹配规则为 IDaaS 中字段与 AD/LDAP 中属性的对应匹配

  • 账户名称:cn (如AD中的cn对应在IDaaS的账户名)

说明

如果您 AD 中的账户的 CN 字段值为中文,无法拉取到IDaaS。建议您使用 sAMAccountName 字段。

  • 外部id:Windows AD 填写 objectGUID, OpenLdap 填写 uid

  • 密码字段:Windows AD 填写 unicodePwd, OpenLdap 填写 userPassword

  • 用户唯一标识:Windows AD 填写 DistinguishedName, OpenLdap 填写 EntryDN

  • 手机字段:mail

  • 邮箱字段:telephoneNumber

  • 默认密码:定时从AD/LDAP 同步账户到IDaaS系统时的默认密码

  • 昵称:在IDaaS中账户的显示名称

从AD导入账户及组织机构

  • 手动导入组织机构及账户

    • 导入组织机构

    • 操作步骤

      1. 在机构及组页面,点击导入-LDAP-组织机构

      2. 选择添加的LDAP配置,点击导入

      3. 页面会展示组织机构的临时数据。确认数据正确后,点击确定导入,即可将AD的组织机构全量导入到IDaaS

    • 导入账户

    • 操作步骤

      1. 在机构及组页面,点击导入-LDAP-账户

      2. 选择添加的LDAP配置,点击导入

      3. 页面会展示组织机构的临时数据。确认数据正确后,点击确定导入,即可将AD的组织机构全量导入到IDaaS 。

导出账户或组织机构到AD

注意

导出组织机构及账户时,请确认已将父级组织机构导出到AD,否则会导出失败。

手动导出组织机构及账户

  • 导出组织机构

  • 操作步骤

    1. 在机构及组页面,点击导出-LDAP-组织机构

    2. 勾选LDAP配置,再勾选需要导出的组织机构

    3. 点击确定,成功导出后会显示如下提示。

  • 导出账户

  • 操作步骤

    1. 在机构及组页面,点击 导出-LDAP-账户

    2. 勾选LDAP配置,再勾选需要导出账户的组织机构,点击确定即可将机构下的账户导出到AD

    3. 切换到单个导出页签,也可以支持导出指定账户到AD

通过上述步骤,即可将IDaaS组织机构和账户数据导出到AD

FAQ

1. 是否可以使用ldap账户进行登录?

可以,请查看LDAP认证登录

2. 本地内网AD是否可以支持数据同步?

支持,需要本地部署connector实现同步,可以查看同步中心使用说明

3. 从IDaaS导出组织机构到LDAP,提示:导出失败,请检查配置

往LDAP中导出组织机构是有层级结构的,请确认IDaaS中组织机构的根节点是否已经导出到LDAP中,如下图所示。

11

4. 从LDAP导入账户到IDaaS, 提示:InvalidUserLicense.

12

请查看购买的license数是否足够, 比如购买了100个license,导入的账户数超出了这个限制。可以先指定base DN 到某个OU, 先导入部分账户测试,或者升级license数量。

123

5. 从IDaaS导出组织机构到LDAP成功,但是导出账户提示导出成功0个。

123

请查看LDAP配置中的字段匹配规格是否正确,请参考下图参数配置

1222