文档

LDAP和无影云电脑便捷用户SSO

更新时间:

如果您需要通过LDAP账户快速登录无影终端,连接云电脑,可以参考本文操作。文本指导您如何在无影云电脑控制台配置LDAP,使得LDAP账户和无影云电脑建立信任关系,实现SSO。

前提条件

已搭建并完成LDAP服务器配置。

使用限制

仅组织ID支持基于LDAP的SSO。办公网络不支持基于LDAP的SSO。

说明

如果您为组织ID配置了基于LDAP的SSO,终端用户登录无影终端时只有输入组织ID并验证LDAP的身份信息通过后方可登录成功。

操作步骤

步骤一:创建基于LDAP的企业身份源

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择用户与管理员 > 企业身份源

  3. 在企业身份源页面,单击LDAP。

    (可选)如果不是首次配置SSO,您需要先单击新增企业身份源,再选择LDAP。

  4. 新增企业身份源面板,设置以下配置项的参数。

    配置项

    说明

    示例

    企业身份源名称

    按需输入企业身份源名称。

    无影test

    企业身份源类型

    选择企业身份源的类型。

    LDAP

    服务器类型

    LDAP所在的服务器地址,支持ldaps://ldap://

    如果选择ldap://建议您开启StartTLS(在LDAP中配置证书即可使用。更多信息,请参见证书验证),开启StartTLS可以有效提高数据传输的安全性。

    说明
    • ldaps://一般使用636端口。

    • ldap://和StartTLS一般使用389端口。

    ldaps://127.0.0.1:636

    BASE DN

    Base DN是LDAP中某个节点的路径标识,默认为根节点。

    DN的格式为:ou=某组织,dc=example,dc=com。

    根节点的DN一般为dc=example,dc=com(即您的域)。

    dc=example,dc=com

    管理员DN

    无影云电脑使用该LDAP管理员账户读取LDAP信息来完成数据同步或委托认证,该账户需要至少拥有读取权限,且该管理员需使用DN格式。

    cn=admin,cn=User,dc=example,dc=com

    管理员密码

    管理员DN的密码。

    Ytest001

    证书验证

    如果服务器类型选择为ldap://且开启StartTLS,或者服务器类型选择ldaps://,这两种情况下建议您都校验LDAP证书,通过录入LDAP的证书指纹,建立无影云电脑对LDAP的信任关系,避免LDAP被劫持或伪造。如果不对LDAP证书进行合法性校验,理论上存在安全风险。

    校验方法如下:

    1. 单击通过证书指纹验证

    2. 单击一键获取,系统自动输入证书。

      说明

      如果出现报错,请检查LDAP服务器配置是否正确。

    34fd9df0de731df621e48763fa1b5cd7a3f50e5a2050df1dee059c849e4b****

    用户登录标识(选填)

    使用LDAP服务器的用户登录无影终端时,您可以配置特定属性作为用户登录标识,无影云电脑将根据这些属性在LDAP服务器中查询用户标识并匹配密码,密码正确则允许终端用户登录无影终端

    说明
    • 当使用半角逗号(,)对多个属性进行分割时,为或关系。即您可以使用任一属性登录。

    • 请确保多个属性对应同一个LDAP用户,否则将无法登录。默认登录名属性名称为cn。

    cn,mail

    用户ObjectClass(选填)

    LDAP的ObjectClass是attribute的集合。通过ObjectClass可以定义哪种类型的对象是用户,例如将查询结果中ObjectClass=user的对象视作用户。默认用户ObjectClass为posixAcccount,inetOrgPerson,top。

    说明

    当使用半角逗号(,)对ObjectClass进行分割,为且关系。

    posixAccount,inetOrgPerson,top

  5. 单击确定

步骤二:创建与LDAP账户同名的用户

创建完基于LDAP的企业身份源,还需要使得LDAP账户和无影云电脑之间建立信任关系,此时您需要在无影云电脑创建与LDAP账户同名的用户。下文为您介绍具体的操作步骤。

  1. 登录无影云电脑控制台

  2. 在左侧导航栏,选择用户与管理员 > 用户与组织

  3. 用户管理页面,单击创建用户

  4. 选择以下一种方式创建与LDAP账户同名的用户信息。

    • 手动录入用户信息

      1. 选择手动录入页签。

      2. 按需选择用户激活管理员激活

      3. 填写与LDAP账户中同名的用户名信息,然后单击创建用户

        重复上述操作可录入多个用户信息。

        说明

        在此需要确保输入的用户名与LDAP账户的用户名一致,此时输入的密码不要求和LDAP账户的用户名密码一致,这是云电脑用户的密码,您可按照界面提示输入任何符合要求的密码。

    • 批量导入用户信息

      1. 选择批量录入页签。

      2. 按需选择用户激活管理员激活

      3. 选择以下一种方式准备用户信息文件。

        • 单击下载模板,然后打开下载的模板,按照格式录入与LDAP账户中同名的用户名信息并保存。

        • 使用Excel录入与LDAP账户中同名的用户名信息,然后另存为CSV文件。

        说明
        • 如果是用户激活,录入用户信息时,第一列为用户名,第二列为用户邮箱,且均为必填项。

        • 如果是管理员激活,录入用户信息时,第一列为用户名,第四列为密码,且均为必填项。

          在此需要确保输入的用户名与LDAP账户的用户名一致,此时输入的密码不要求和LDAP账户的用户名密码一致,这是云电脑用户的密码,您可按照界面提示输入任何符合要求的密码。

      4. 单击选择文件,选择已录入用户信息的CSV文件。

        系统将自动导入文件中的用户信息。导入完成后,可以查看各个用户数据的导入情况。如果导入失败,请检查文件中的用户信息是否符合格式要求。

  5. 单击关闭

    创建完成后 ,您可以在用户管理页面查看到相应的用户信息,用户的状态为正常,说明创建用户成功。

后续步骤

配置完LDAP后,LDAP服务器和无影云电脑建立互信,您可以通过验证LDAP账户的用户信息,快速登录无影终端。下文以Windows客户端为例,介绍终端用户如何通过LDAP用户信息登录客户端。

  1. 打开Windows客户端

  2. 专业版(旧版本中为企业版)页面,输入组织ID。

  3. 选择账号类型下单击下拉框选择步骤一创建的企业身份源名称,然后单击下一步.png图标。

  4. 输入LDAP账户的用户名和密码,然后单击下一步.png图标。

    说明

    如果组织ID开启了无影便捷账号密码登录,那么在选择账号类型下可以选择无影便捷账号登录。如果选择了无影便捷账号登录,您需要输入在无影云电脑控制台创建的用户名和密码。

    成功登录客户端后,在云电脑展示页面,找到目标云电脑卡片,单击连接云电脑

  • 本页导读 (0)
文档反馈