如果您需要通过LDAP账户快速登录无影终端并连接云电脑,可以参考本文操作。文本介绍如何在无影云电脑控制台配置基于LDAP的SSO登录。
使用限制
仅组织ID支持基于LDAP的SSO,办公网络不支持基于LDAP的SSO。
前提条件
已搭建并完成LDAP服务器配置。
步骤一:创建基于LDAP的企业身份源
登录无影云电脑企业版控制台。
在左侧导航栏,选择
,并在用户与组织页面上单击企业身份源页签。在企业身份源页面,单击LDAP。
如果不是首次配置SSO,您需要先单击新增企业身份源,再选择LDAP。
在新增企业身份源面板上设置以下配置项的参数,并单击确定。
配置项
说明
示例
企业身份源名称
输入企业身份源名称。
LDAP身份源
企业身份源类型
选择企业身份源的类型。
LDAP
服务器类型
LDAP所在的服务器地址,支持
ldaps://
和ldap://
协议。如果选择
ldap://
,为提高数据传输的安全性,建议您开启StartTLS(在LDAP中配置证书即可使用。详细信息,请参见证书验证)。说明ldaps://
一般使用636端口。ldap://
和StartTLS一般使用389端口。
ldaps://127.0.0.1:636
BASE DN
Base DN是LDAP中某个节点的路径标识,默认为根节点。
DN的格式为:ou=某组织, dc=example, dc=com。
根节点的DN一般为dc=example, dc=com(即您的域)。
dc=example, dc=com
管理员DN
无影云电脑使用该LDAP管理员账户读取LDAP信息来完成数据同步或委托认证,该账户需要至少拥有读权限,且该管理员需使用DN格式。
cn=admin, cn=User, dc=example, dc=com
管理员密码
管理员DN的密码。
Ytest001
证书验证
当服务器类型为
ldap://
且开启StartTLS时,或者服务器类型为ldaps://
时,建议您校验LDAP证书,通过录入LDAP的证书指纹,建立无影云电脑对LDAP的信任关系,避免LDAP被劫持或伪造。如果不对LDAP证书进行合法性校验,理论上存在安全风险。校验方法如下:
在证书验证区域选择通过证书指纹验证。
单击一键获取,即可自动输入证书。
说明如果出现报错,请检查LDAP服务器配置是否正确。
34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b****
用户登录标识(选填)
使用LDAP服务器的用户登录无影终端时,您可以配置特定属性作为用户登录标识,无影云电脑将根据这些属性在LDAP服务器中查询用户标识并匹配密码,密码正确则允许终端用户登录。
说明当使用半角逗号(,)对多个属性进行分隔时,多个属性之间的关系为“或”的关系,表示可以使用任一属性登录。
请确保多个属性对应同一个LDAP用户,否则将无法登录。默认登录名属性名称为cn。
cn,mail
用户ObjectClass(选填)
LDAP的ObjectClass是属性的集合。通过ObjectClass可以定义哪种类型的对象是用户,例如将查询结果中ObjectClass=user的对象视作用户。默认用户ObjectClass为posixAccount,inetOrgPerson,top。
说明当使用半角逗号(,)对ObjectClass进行分隔时,多个属性之间的关系为“且”的关系。
posixAccount,inetOrgPerson,top
步骤二:创建与LDAP账户同名的用户
创建了基于LDAP的企业身份源之后,还需要在无影云电脑控制台创建与LDAP账户同名的用户,从而在LDAP账户和无影云电脑之间建立信任关系。
在左侧导航栏,选择
。在用户与组织页面的用户页签上单击创建用户。
在创建用户面板上,选择一种方式创建与LDAP账户同名的用户信息。
说明请确保输入的用户名与LDAP账户的用户名一致,此时输入的密码不要求和LDAP账户的用户名密码一致,这是云电脑用户的密码,您可按照页面提示输入任何符合要求的密码。
手动创建
单击手动录入页签。
按需选择便捷账号类型。
支持选择用户激活和管理员激活两种类型。
填写与LDAP账户中同名的用户名信息,然后单击创建用户。
重复上述操作可录入多个用户信息。
批量创建
单击批量录入页签。
按需选择便捷账号类型。
支持选择用户激活和管理员激活两种类型。
选择以下一种方式制作用户信息文件。
单击下载模板,下载并打开模板,按照格式录入用户信息后保存。
说明如果是用户激活,录入用户信息时,第一列
Username
是用户名,第二列Email
是用户邮箱,均为必填项。如果是管理员激活,录入用户信息时,第一列
Username
是用户名,第四列Password
是密码,均为必填项。
使用Excel录入用户信息,然后另存为CSV文件。
单击选择文件,选择已录入用户信息的文件并按照提示完成操作,系统将自动导入文件中的用户信息。
导入完成后,创建用户面板提示创建成功,此时单击查看账号,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。
单击关闭。
创建完成后 ,您可以在用户页签查看到相应的便捷账号信息,且用户的状态为正常。
说明成功创建便捷账号后,系统不会发送通知。只有为便捷账号分配云电脑或云电脑池后,才会向相应联系方式发送通知。
后续步骤
如果您为组织ID配置了基于LDAP的SSO,终端用户登录无影终端时,只有在输入组织ID且LDAP身份验证通过后方可登录成功。
关于终端用户登录无影终端的步骤,请参见终端用户快速入门。