添加AD/LDAP

ZStack支持基于自定义规则添加AD/LDAP服务器。

进入AD/LDAP界面。

在ZStack私有云主菜单，点击平台管理 > AD/LDAP，进入AD/LDAP管理界面。

如Figure 1所示：
Figure 1. AD/LDAP界面
添加AD/LDAP。
点击添加AD/LDAP，弹出添加AD/LDAP界面。
如Figure 2所示：
Figure 2. 添加AD/LDAP

Note: 由于AD/LDAP统一认证服务是基于LDAP协议的不同实现，添加AD/LDAP的方法基本一致，以下将以添加AD服务器为例进行介绍。
在AD/LDAP设置界面，可参考以下示例输入相应内容：
- 选择添加的服务器类型：
  - AD：将添加WindowsAD类型的服务器
  - LDAP：将添加OpenLDAP类型的服务器
- 服务器：填写AD/LDAP服务器的域名或IP地址
  以AD为例：adtest.com或172.20.12.180
- 端口：填写访问AD/LDAP服务器所使用的端口，默认使用389端口
- 基准检索DN：填写用于检索已绑定AD/LDAP成员的基准DN（Distinguished Name）
  Note: 基准检索DN的设置会限制查询结果
  - 希望查询当前AD/LDAP域的所有成员，请设置基准检索DN为：域节点
    以AD为例：DC=adtest,DC=com
  - 希望查询当前AD/LDAP域中隶属某一组织的成员，请设置基准检索DN为：目标组织节点
    以AD为例：OU=people,DC=adtest,DC=com
- 登录属性：设置AD/LDAP服务器的登录属性，登录属性决定了已绑定AD/LDAP成员的登录名
  以AD为例：
  - distinguishedName：表示已绑定AD成员可用distinguishedName相应的value（例如：CN=xiaoming,OU=people,DC=adtest,DC=com）作为ZStack登录名
  - userPrincipalName：表示已绑定AD成员可用userPrincipalName相应的value（例如：邮箱地址 xiaoming@adtest.com）作为ZStack登录名
  - cn：已绑定AD成员可用cn相应的value（例如：名称xiaoming）作为ZStack登录名
  Note:
  - 支持自定义设置登录属性；默认情况下，设置AD服务器的登录属性为cn，LDAP服务器的登录属性为uid
  - 为确保成功登录，所指定的登录属性在AD/LDAP域中相应的value（作为登录名）必须全局唯一
- 用户DN：填写用于AD/LDAP服务器认证的AD/LDAP成员的DN，需确保填写完整
  以AD为例：CN=xiaoming,OU=people,DC=adtest,DC=com
  Note:
  所填写的用户DN，必须有权访问基准检索DN中的所有用户，因此是与基准检索DN相对应的或域级、或组织级、或用户组级的管理员DN
- 密码：填写与用户DN相应的密码
- 清除规则：可选项，自定义清除规则，系统将清理满足条件的绑定关系
  以AD为例：希望清除所有已离职员工的账号绑定关系，可设置清除规则(description=已离职)
如Figure 3所示：
Figure 3. 添加AD

点击确定按钮，系统会自动检测服务器、端口、基准检索DN、登录属性、用户DN、密码是否正确，等待时间不超过5秒。若填写有误，请根据右上角消息提示修改后重新提交；若确认无误将返回到AD/LDAP界面，AD/LDAP添加成功。
管理AD/LDAP服务器。
在AD/LDAP管理界面，可对已添加的AD/LDAP进行管理，支持以下操作：
- 查看：
  点击已添加的AD/LDAP，展开详情页，可查看名称、端口号、基准检索DN、登录属性、用户DN、清除规则等基本属性。
- 测试：
  选中已添加的AD/LDAP服务器，点击更多操作 > 测试，会基于所填写配置信息尝试连接AD/LDAP。
- 同步：
  当AD/LDAP的配置信息发生变化，例如，设置新的清除规则，选中已更新配置信息的AD/LDAP，点击更多操作 > 同步，将清除ZStack中无效的绑定信息。
- 删除：
  目前仅支持添加一个AD/LDAP，如需添加其它AD/LDAP，或对已添加的AD/LDAP更新配置信息，需删除当前AD/LDAP，进行重新添加。

至此，ZStack成功添加AD/LDAP，将获取AD/LDAP成员列表。接下来，ZStack需要绑定AD/LDAP成员。