AI 助理
备案控制台
官方文档
有奖调研
输入文档关键字查找
首页 运维安全中心(堡垒机) 基础版、企业双擎版 操作指南 管理员手册(V3.2版本) 系统设置 配置AD或LDAP认证

配置AD或LDAP认证

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

堡垒机支持与ADLDAP服务器对接,可将ADLDAP服务器用户同步到堡垒机作为堡垒机用户。本文介绍如何配置ADLDAP认证。

前提条件

配置ADLDAP认证前,您需要先部署好ADLDAP环境,并保证堡垒机可以正常访问ADLDAP服务器。

配置AD认证服务器

堡垒机支持配置多个AD服务器。如需将AD服务器多个域的用户或多条Base DN下的用户同步至堡垒机,首先您需要配置多个AD认证服务器,然后再把各服务器中的用户导入至堡垒机,并在完成资产授权之后,目标用户即可通过堡垒机运维资产。

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,单击系统设置

  4. AD认证页签,单击添加认证服务器

  5. 添加认证服务器面板,参考下表配置AD认证服务器,单击测试连接

    配置项

    说明

    填写示例

    AD认证服务器名称

    可以通过设置不同AD认证服务器的名称加以区分。

    AD服务器

    设为默认服务器

    勾选后,新建完成的认证服务器将替换原来的默认服务器成为新的默认服务器。

    说明

    API目前仅支持修改默认服务器配置。企业双擎版最多支持10AD认证服务器。基础版最多支持1AD认证服务器。

    服务器地址

    认证服务器的连接地址。

    139.129.X.X

    备用服务器地址

    可选。备用服务器的连接地址,没有备用服务器请留空。

    端口

    服务器的端口。

    389

    SSL

    如果AD认证服务器上安装了SSL证书,需要勾选此项。

    Base DN

    服务器中设置的用户目录节点。

    说明

    用户量过大时导入将会耗时较长,建议在服务器中设置此Base DN下的用户总数在10万以内再进行导入。

    cn=Users,dc=alitest,dc=com

    要导入堡垒机中的用户所在域。

    alitest.com

    账户

    认证服务器的账号。

    administrator

    密码

    认证服务器的密码。

    过滤器

    查询服务器上用户时定制查询结果的条件。

    (&(objectClass=person))

    自动同步用户快照间隔时间

    自动将认证服务器中用户列表同步到本地快照的时间。有效值范围04~168小时,为0表示不自动同步。

    12

    同步显示名称

    填写远程服务器上表示用户姓名的属性名,例如fullName,留空将采用默认值cn进行同步。取消勾选将不同步该属性。

    说明

    登录堡垒机时按照用户名进行校验,不按照姓名校验,默认同步远程服务器上的sAMAccountName属性值作为登录名。

    同步邮箱

    填写远程服务器上表示用户邮箱的属性名。例如mail,留空将采用默认值mail进行同步。取消勾选将不同步该属性。

    同步手机号

    填写远程服务器上表示用户手机号码的属性名,例如mobile,留空将采用默认值mobile进行同步。取消勾选将不同步该属性。

    将用户所在组织同步为用户组

    开启时,每个添加到堡垒机上的AD用户,其所属的组织自动同步为堡垒机上的用户组,并将该用户自动关联到该用户组中。

    • 堡垒机最多支持500个用户组,超出此数量限制的用户组不会同步创建。

    • 首次同步后,服务器上组织的增、删、改不会继续同步到堡垒机上。

  6. 连接成功后,单击保存

    如果您需要自动同步AD用户快照,请单击立即同步用户快照,或者设置自动同步用户快照间隔时间定时将认证服务器中用户列表同步到本地快照。在导入AD用户时,将从本地快照中读取用户数据,降低导入AD用户操作性能消耗。

配置LDAP认证服务器

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,单击系统设置

  4. LDAP认证页签,参考下表配置LDAP认证服务器,单击测试连接

    配置项

    说明

    填写示例

    服务器地址

    认证服务器的连接地址。

    139.129.X.X

    备用服务器地址

    可选。备用服务器的连接地址,没有备用服务器请留空。

    端口

    服务器的端口。

    389

    SSL

    如果LDAP认证服务器上安装了SSL证书,需要勾选此项。

    Base DN

    服务器中设置的用户目录节点。

    说明

    用户量过大时导入将会耗时较长,建议在服务器中设置此Base DN下的用户总数在10万以内再进行导入。

    ou=saasdun,ou=testgroup,dc=alitest,dc=com

    账户

    认证服务器的账号。

    cn=admin,dc=alitest,dc=com

    密码

    认证服务器的密码。

    过滤器

    查询服务器上用户时定制查询结果的条件。

    (&(objectClass=person))

    登录名属性

    设置用户登录时需要校验的登录名在LDAP服务器上的对应值,默认值为uid。

    自动同步用户快照间隔时间

    自动将认证服务器中用户列表同步到本地快照的时间。有效值范围04~168小时,为0表示不自动同步。

    12

    同步显示名称

    填写远程服务器上表示用户姓名的属性名,例如fullName,留空将采用默认值cn进行同步。取消勾选将不同步该属性。

    说明

    登录堡垒机时按照用户名进行校验,不按照姓名校验,默认同步远程服务器上的uid属性值作为登录名。

    同步邮箱

    填写远程服务器上表示用户邮箱的属性名。例如mail,留空将采用默认值mail进行同步。取消勾选将不同步该属性。

    同步手机号

    填写远程服务器上表示用户手机号码的属性名,例如mobile,留空将采用默认值mobile进行同步。取消勾选将不同步该属性。

  5. 连接成功后,单击保存

    • 如果您不再使用LDAP认证,单击清除配置,即可快速清除LDAP认证配置信息。

      警告

      清除配置后,LDAP用户也会同步清除,请您谨慎操作。

    • 如果您需要自动同步LDAP用户快照,请单击立即同步用户快照,或者设置自动同步用户快照间隔时间定时将认证服务器中用户列表同步到本地快照。在导入LDAP用户时,将从本地快照中读取用户数据,降低导入LDAP用户操作性能消耗。

上一篇:开启双因子认证下一篇:管理IDaaS认证