跳转至

配置设置

在激活 Active Directory 连接前,必须配置好设置。连接到多个 Active Directories 并将其目录导入 octoplant 是可能的。

前提条件是,授权必须通过操作系统进行。

  1. 打开 用户管理 模块。
  2. 打开 同步 选项卡并选择 账户策略 按钮。
  3. 授权 选项卡中,选择 通过操作系统授权通过操作系统和访问管理授权,然后选择 确认

配置 Active Directory 连接设置的步骤如下:

  1. 打开 用户管理 模块。
  2. 在菜单栏点击 配置 按钮,随后将显示 Active Directory 绑定 对话框。在首次打开时,会直接创建一个新的配置。如果想在对话框打开时创建额外的配置,请在左侧导航栏中选择 按钮。

    图:Active Directory 连接对话框

  3. 请进行必要的设置。您可以在上方的截图中看到一个示例配置。这些条目的详细描述请见下表。

  4. 选择 启用循环同步 以激活此配置与 Active Directory 的同步功能。

    Info

    只有在选择菜单栏中的 激活 按钮后,从 Active Directory 的自动和手动导入才会最终生效。启用循环同步 复选框只是使配置可以被之后激活。

  5. 点击 保存 确认。

  6. 该配置的设置已被保存。如需添加新配置,请选择导航栏中的 按钮;如需关闭对话框,请选择 确认

Info

在配置 Active Directory 连接时,IT 部门提供的数据通常是从电子邮件或 Word 文档中复制的。相应的程序处理文字时,可能会更改或添加字符。此时会出现错误消息。为避免出现这种情况,建议手动输入数据。

服务器

元素 说明 示例
地址 Active Directory 服务器的名称、IP 地址或域。如果要连接的计算机不在 Active Directory 服务器的域内,则只能通过 Active Directory 服务器名称或 IP 地址进行连接。 名称、IP 地址或域。 10.0.201.1
端口 Active Directory 服务器的端口。 范围在 0 至 65535 之间的整数。加密连接的默认端口为 636。未加密连接的默认端口为 389。如果默认端口已在其他地方使用,请选择其他端口。 636
SSL 加密 与 Active Directory 服务器的加密或非加密连接。默认情况下,与 Active Directory 的连接使用 LDAP 协议。 如果激活 SSL 加密复选框,则使用 LDAPS 协议。 🗹 SSL 加密
用户名 访问 Active Directory 服务器的用户名。注意:我们已对 Active Directory 实施了自动身份验证。这意味着,如果在 Active Directory 绑定对话框中提供的凭证(用户名和密码)为空,则将使用已通过身份验证的凭证。
为了能够从 Active Directory 中读取用户,此处配置的用户必须在 Active Directory 中拥有相应的访问权限。
格式:{User name} or {Domain}{User name} or {User name}@{Domain}. 管理员
密码 访问 Active Directory 服务器的用户密码。屏蔽显示。注意:Active Directory 的自动身份验证已启用。如果 Active Directory 绑定对话框中的用户名和密码字段为空,系统将使用已验证的凭证。 密码 •••••••••
DC: 域的 DNS 名称。数据按照 Active Directory 格式显示。 在 Active Directory 中,域名中用点分隔的部分被划分为各个部分。每个部分都以前缀 DC(= 域组件)引入。各部分之间用逗号隔开。 域 vdns.tst.dom 的映射如下:DC=vdns,DC=tst,DC=dom
DN“所有用户”: Active Directory 组的可分辨名称(= DN),在该组内搜索要导入的用户(和其他组)。根据 Active Directory 格式进行规范。可分辨名称代表分层目录中的一个对象。 可分辨名称的书写顺序是从低到高层级。对象本身由前缀 CN(= 通用名称)引入。各个部分之间用逗号隔开。 对于 Users 文件夹中的 Club27 组,可分辨名称如下:CN=Club27,CN=Users
DN “管理员”: Active Directory 组的可分辨名称 (=DN),其用户将被导入 octoplant 管理员组中。根据 Active Directory 格式进行规范。可分辨名称代表分层目录中的一个对象。 可分辨名称的书写顺序是从低到高层级。对象本身由前缀 CN(= 通用名称)引入。各个部分之间用逗号隔开。
多个组之间用分号隔开。
对于用户文件夹中的 Reservoir-Dogs 组,可分辨名称如下:CN=Reservoir-Dogs,CN=Users,OU=SecurityGroup
此值将导入组 SECS-Octoplant-Engineering-1 和 SECS-Octoplant-Engineering-2 以及这些组中的所有用户:CN=SECS-Engineering-1,OU=test,OU=2008 R2 AD; CN=SECS-Engineering-2,OU=test 2,OU=2008 R2 AD; ...

路径规范

Active Directory 绑定 对话框中指定完整路径。如果路径包含特殊字符,如+ (如 OU=W+D),则必须用转义序列提供此特殊字符(如 CN=Reservoir-Dogs,OU=W+D)。

您可以选择 检查 按钮测试服务器详的细信息是否正确。

发布 Active Directory 组的可分辨名称

已在 DN "所有用户":DN "管理员": 字段中指定 Active Directory 的可分辨名称。可以在 Active Directory 控制器上执行 PowerShell 命令 Get-ADGroup <Group name> 并发布该可分辨名称。

例如:

图:编辑可分辨名称

导入的用户属性

octoplant 元素 说明 示例
名称 是 Active Directory 中的属性,在 octoplant 中被用作用户名。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 sAMAccountName
全名 Active Directory 中的属性,在 octoplant 中被用作全名。在导入过程中,用户的全名是根据 Active Directory 中的属性值进行设置的。 displayName
电子邮件 Active Directory 的属性,在 octoplant 中被用作电子邮件地址。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 mail
电话 Active Directory 中的属性,在 octoplant 中被用作电话号码。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 telephoneNumber
注释 Active Directory 中的属性,在 octoplant 中被用作注释。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 描述
Active Directory 中的域名或用户属性。如果激活了将“域”值作为用户属性复选框,则可以指定任何用户属性,从中读取或使用域名。
如果取消勾选 将“域”值作为用户属性 复选框(默认设置),则将输入域的 NetBIOS 名称。
特殊功能:对于 userPrincipalName 和 distinguishedName 属性,将使用找到的第一个子域或域作为域名。
distinguishedName:CN=UserName,OU=Development,
OU=UserAccounts,OU=Organization,OU=Company,
DC=subDomain,DC=Domain,DC=local
userPrincipalName:user@subdomain.domain.local

导入的组属性

元素 说明 示例
名称: Active Directory 的属性,在 octoplant 中被用作组名称。在导入过程中,组名是根据 Active Directory 中的属性值进行设置的。 cn
注释: Active Directory 中的属性,在 octoplant 中被用作组注释。在导入过程中,组注释是根据 Active Directory 中的属性值进行设置的。 描述

导入选项

元素 说明
对在字段 DN "所有用户" 中输入的组,需要采取的操作: 导入用户(不导入组或用户和组的关系) 从 AD 只导入用户,不导入组以及用户和组的关系。导入用户、组、用户和组的关系 用户指定的组(这些必须是组而非 OU)将被导入到 octoplant 中。(用户将被分配到各自的组)。导入用户和第一级子组、用户和组的关系 允许添加/移除 AD 中的组,而无需自定义 octoplant 中的配置。 (默认)。
当用户/组已存在于 octoplant 时,需要采取的操作: 是程序行为,如果 octoplant 中已存在要导入的用户/组。选项:在 octoplant 中覆盖此用户/组(保留权利):octoplant 中已存在的用户/组在导入过程中会被 Active Directory 中同名元素的值覆盖。跳过此 Active Directory 用户/组:在导入过程中,octoplant 中已存在的用户/组 不会 被 Active Directory 中同名元素的值覆盖。
当用户/组不再存在于 Active Directory 时: 程序行为,如果 Active Directory 中不存在要导入的用户/组。选项 移除写入保护并阻止用户:octoplant中的组/用户仍然存在,但用户被锁定。选项 移除写保护:octoplant 中的组/用户仍然存在,且不受限制。选项 删除用户/组:octoplant 中存在的组/用户被删除。
每日自动导入的时间: 每日开始自动导入的时间(可选择整点时间)

其他信息

Active Directory 连接所需的大部分信息都可以通过管理 Active Directory 的工具方便快捷地找到。微软的 Active Directory Explorer 就是其中一款这样的工具。如果明确指定了端口,还可以检查 SSL 连接。

例如:

图:连接到 Active Directory 对话框

下面的截图显示了通过 Active Directory Explorer 查找到的配置 Active Directory 连接所需要的信息,以便能够从 用户 文件夹导入组 Club27。相关信息可通过相同的数字识别。

图:Active Directory Explorer

常见问题

与 Active Directory 服务器的 SSL 加密连接失败,并出现错误消息。

图:连接 Active Directory 时出错

检查证书中的名称与请求中的名称是否一致。

在上面的例子中,配置时使用了 IP 地址而不是计算机名 FS-2019。由于证书中只存储了名称 FS-2019,所以出现了显示的错误。

要解决这个问题,请在地址字段中输入计算机名 FS-2019

我如何能在 octoplant 服务器上导入证书或检查其可用性呢?

一个根证书标识一个证书颁发机构(CA)。有了这个根证书,CA 可以签署一个或多个下级证书,这些下级证书签署会最终用户的 SSL 证书。

根证书必须导入到 octoplant 服务器。要执行导入,则需要双击导出的证书,并将其存储在 受信任的根证书颁发机构 文件夹下。

图:受信任的根证书办法机构

要显示证书,按 Win + R,在 运行 对话框中输入 certmgr.msc(或 certlm.msc) 。

图:运行对话框,certmgr.msc

相关主题