配置设置
在激活 Active Directory 连接前,必须配置好设置。连接到多个 Active Directories 并将其目录导入 octoplant 是可能的。
前提条件是,授权必须通过操作系统进行。
- 打开 用户管理 模块。
- 打开 同步 选项卡并选择 账户策略 按钮。
- 在 授权 选项卡中,选择 通过操作系统授权 或 通过操作系统和访问管理授权,然后选择 确认。
配置 Active Directory 连接设置的步骤如下:
- 打开 用户管理 模块。
-
在菜单栏点击 配置 按钮,随后将显示 Active Directory 绑定 对话框。在首次打开时,会直接创建一个新的配置。如果想在对话框打开时创建额外的配置,请在左侧导航栏中选择 新 按钮。
-
请进行必要的设置。您可以在上方的截图中看到一个示例配置。这些条目的详细描述请见下表。
-
选择 启用循环同步 以激活此配置与 Active Directory 的同步功能。
Info
只有在选择菜单栏中的 激活 按钮后,从 Active Directory 的自动和手动导入才会最终生效。启用循环同步 复选框只是使配置可以被之后激活。
-
点击 保存 确认。
- 该配置的设置已被保存。如需添加新配置,请选择导航栏中的 新 按钮;如需关闭对话框,请选择 确认。
Info
在配置 Active Directory 连接时,IT 部门提供的数据通常是从电子邮件或 Word 文档中复制的。相应的程序处理文字时,可能会更改或添加字符。此时会出现错误消息。为避免出现这种情况,建议手动输入数据。
服务器
| 元素 | 说明 | 值 | 示例 |
|---|---|---|---|
| 地址 | Active Directory 服务器的名称、IP 地址或域。如果要连接的计算机不在 Active Directory 服务器的域内,则只能通过 Active Directory 服务器名称或 IP 地址进行连接。 | 名称、IP 地址或域。 | 10.0.201.1 |
| 端口 | Active Directory 服务器的端口。 | 范围在 0 至 65535 之间的整数。加密连接的默认端口为 636。未加密连接的默认端口为 389。如果默认端口已在其他地方使用,请选择其他端口。 | 636 |
| SSL 加密 | 与 Active Directory 服务器的加密或非加密连接。默认情况下,与 Active Directory 的连接使用 LDAP 协议。 | 如果激活 SSL 加密复选框,则使用 LDAPS 协议。 | 🗹 SSL 加密 |
| 用户名 | 访问 Active Directory 服务器的用户名。注意:我们已对 Active Directory 实施了自动身份验证。这意味着,如果在 Active Directory 绑定对话框中提供的凭证(用户名和密码)为空,则将使用已通过身份验证的凭证。 为了能够从 Active Directory 中读取用户,此处配置的用户必须在 Active Directory 中拥有相应的访问权限。 | 格式:{User name} or {Domain}{User name} or {User name}@{Domain}. | 管理员 |
| 密码 | 访问 Active Directory 服务器的用户密码。屏蔽显示。注意:Active Directory 的自动身份验证已启用。如果 Active Directory 绑定对话框中的用户名和密码字段为空,系统将使用已验证的凭证。 | 密码 | ••••••••• |
| DC: | 域的 DNS 名称。数据按照 Active Directory 格式显示。 | 在 Active Directory 中,域名中用点分隔的部分被划分为各个部分。每个部分都以前缀 DC(= 域组件)引入。各部分之间用逗号隔开。 | 域 vdns.tst.dom 的映射如下:DC=vdns,DC=tst,DC=dom |
| DN“所有用户”: | Active Directory 组的可分辨名称(= DN),在该组内搜索要导入的用户(和其他组)。根据 Active Directory 格式进行规范。可分辨名称代表分层目录中的一个对象。 | 可分辨名称的书写顺序是从低到高层级。对象本身由前缀 CN(= 通用名称)引入。各个部分之间用逗号隔开。 | 对于 Users 文件夹中的 Club27 组,可分辨名称如下:CN=Club27,CN=Users |
| DN “管理员”: | Active Directory 组的可分辨名称 (=DN),其用户将被导入 octoplant 管理员组中。根据 Active Directory 格式进行规范。可分辨名称代表分层目录中的一个对象。 | 可分辨名称的书写顺序是从低到高层级。对象本身由前缀 CN(= 通用名称)引入。各个部分之间用逗号隔开。 多个组之间用分号隔开。 | 对于用户文件夹中的 Reservoir-Dogs 组,可分辨名称如下:CN=Reservoir-Dogs,CN=Users,OU=SecurityGroup 此值将导入组 SECS-Octoplant-Engineering-1 和 SECS-Octoplant-Engineering-2 以及这些组中的所有用户: CN=SECS-Engineering-1,OU=test,OU=2008 R2 AD; CN=SECS-Engineering-2,OU=test 2,OU=2008 R2 AD; ... |
路径规范
在Active Directory 绑定 对话框中指定完整路径。如果路径包含特殊字符,如+ (如 OU=W+D),则必须用转义序列提供此特殊字符(如 CN=Reservoir-Dogs,OU=W+D)。
您可以选择 检查 按钮测试服务器详的细信息是否正确。
发布 Active Directory 组的可分辨名称
已在 DN "所有用户": 和 DN "管理员": 字段中指定 Active Directory 的可分辨名称。可以在 Active Directory 控制器上执行 PowerShell 命令 Get-ADGroup <Group name> 并发布该可分辨名称。
例如:
导入的用户属性
| octoplant 元素 | 说明 | 示例 |
|---|---|---|
| 名称 | 是 Active Directory 中的属性,在 octoplant 中被用作用户名。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 | sAMAccountName |
| 全名 | Active Directory 中的属性,在 octoplant 中被用作全名。在导入过程中,用户的全名是根据 Active Directory 中的属性值进行设置的。 | displayName |
| 电子邮件 | Active Directory 的属性,在 octoplant 中被用作电子邮件地址。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 | |
| 电话 | Active Directory 中的属性,在 octoplant 中被用作电话号码。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 | telephoneNumber |
| 注释 | Active Directory 中的属性,在 octoplant 中被用作注释。在导入过程中,用户名是根据 Active Directory 中的属性值进行设置的。 | 描述 |
| 域 | Active Directory 中的域名或用户属性。如果激活了将“域”值作为用户属性复选框,则可以指定任何用户属性,从中读取或使用域名。 如果取消勾选 将“域”值作为用户属性 复选框(默认设置),则将输入域的 NetBIOS 名称。 特殊功能:对于 userPrincipalName 和 distinguishedName 属性,将使用找到的第一个子域或域作为域名。 | distinguishedName:CN=UserName,OU=Development,OU=UserAccounts,OU=Organization,OU=Company,DC=subDomain,DC=Domain,DC=localuserPrincipalName: user@subdomain.domain.local |
导入的组属性
| 元素 | 说明 | 示例 |
|---|---|---|
| 名称: | Active Directory 的属性,在 octoplant 中被用作组名称。在导入过程中,组名是根据 Active Directory 中的属性值进行设置的。 | cn |
| 注释: | Active Directory 中的属性,在 octoplant 中被用作组注释。在导入过程中,组注释是根据 Active Directory 中的属性值进行设置的。 | 描述 |
导入选项
| 元素 | 说明 |
|---|---|
| 对在字段 DN "所有用户" 中输入的组,需要采取的操作: | 导入用户(不导入组或用户和组的关系) 从 AD 只导入用户,不导入组以及用户和组的关系。导入用户、组、用户和组的关系 用户指定的组(这些必须是组而非 OU)将被导入到 octoplant 中。(用户将被分配到各自的组)。导入用户和第一级子组、用户和组的关系 允许添加/移除 AD 中的组,而无需自定义 octoplant 中的配置。 (默认)。 |
| 当用户/组已存在于 octoplant 时,需要采取的操作: | 是程序行为,如果 octoplant 中已存在要导入的用户/组。选项:在 octoplant 中覆盖此用户/组(保留权利):octoplant 中已存在的用户/组在导入过程中会被 Active Directory 中同名元素的值覆盖。跳过此 Active Directory 用户/组:在导入过程中,octoplant 中已存在的用户/组 不会 被 Active Directory 中同名元素的值覆盖。 |
| 当用户/组不再存在于 Active Directory 时: | 程序行为,如果 Active Directory 中不存在要导入的用户/组。选项 移除写入保护并阻止用户:octoplant中的组/用户仍然存在,但用户被锁定。选项 移除写保护:octoplant 中的组/用户仍然存在,且不受限制。选项 删除用户/组:octoplant 中存在的组/用户被删除。 |
| 每日自动导入的时间: | 每日开始自动导入的时间(可选择整点时间) |
其他信息
Active Directory 连接所需的大部分信息都可以通过管理 Active Directory 的工具方便快捷地找到。微软的 Active Directory Explorer 就是其中一款这样的工具。如果明确指定了端口,还可以检查 SSL 连接。
例如:
下面的截图显示了通过 Active Directory Explorer 查找到的配置 Active Directory 连接所需要的信息,以便能够从 用户 文件夹导入组 Club27。相关信息可通过相同的数字识别。
常见问题
与 Active Directory 服务器的 SSL 加密连接失败,并出现错误消息。
检查证书中的名称与请求中的名称是否一致。
在上面的例子中,配置时使用了 IP 地址而不是计算机名 FS-2019。由于证书中只存储了名称 FS-2019,所以出现了显示的错误。
要解决这个问题,请在地址字段中输入计算机名 FS-2019。
我如何能在 octoplant 服务器上导入证书或检查其可用性呢?
一个根证书标识一个证书颁发机构(CA)。有了这个根证书,CA 可以签署一个或多个下级证书,这些下级证书签署会最终用户的 SSL 证书。
根证书必须导入到 octoplant 服务器。要执行导入,则需要双击导出的证书,并将其存储在 受信任的根证书颁发机构 文件夹下。
要显示证书,按 Win + R,在 运行 对话框中输入 certmgr.msc(或 certlm.msc) 。
