AD认证

第三方认证界面

admin/平台管理员/平台成员登录云平台后,在ZStack私有云主菜单,点击高级功能 > 企业管理 > 第三方认证按钮,进入第三方认证界面,如Figure 1所示:
Figure 1. 第三方认证界面


添加AD服务器

第三方认证界面,点击添加AD/LDAP服务器按钮,并选择AD类型,可参考以下步骤添加AD服务器:
  1. 配置AD服务器:设置AD服务器相关的基本信息和配置信息
    可参考以下示例输入相应内容:
    • 基本信息:配置用于添加AD服务器的基本信息,需要设置以下参数:
      • 名称:自定义AD服务器名称
      • 简介:可选项,设置备注信息或简介信息
      • 主服务器IP/域:输入主AD服务器IP地址或域
      • SSL/TLS加密:选择是否开启SSL/TLS加密,默认开启
        • 勾选表示使用SSL/TLS加密,此方式默认使用636端口,支持自定义修改。
        • 不勾选表示不使用任何加密方式,此方式默认使用389端口,支持自定义修改。
      • 主服务器端口:输入主AD服务器对应的端口
      • 备服务器IP/域:可选项,输入备AD服务器IP地址
      • 备服务器端口:可选项,输入备AD服务器对应的端口
    • 配置信息:配置同步AD用户范围相关配置信息,需要设置以下参数:
      • 基本DN:输入基本DN,用于检索AD用户及组织架构的根节点,规定同步AD用户及组织架构的范围
      • 用户DN:输入用户DN,拥有查询基本DN范围内所有用户权限的特殊用户,用于登录AD服务器并获取相关数据
      • 密码:用户DN对应的登录密码
      • 过滤规则:用于过滤基本DN中不需要同步的用户
        Note:
        • 过滤规则输入长度受AD服务器配置限制,超出限制可能导致过滤规则不生效,请提前确认。
        • 过滤规则输入语法与AD过滤语法一致,详情请参考微软官方链接
        • 例如:若过滤规则设置为(&(name=filterName)(description=departure)),表示过滤基本DN中name=filterName且description=departure的用户。
    Figure 2所示:
    Figure 2. 配置AD服务器




    AD服务器配置完成后,点击左上角下一步按钮,自动测试连接并进入下一步,或点击左下角测试连接按钮,手动检测配置正确性以及AD服务器连通性。
    • 若测试成功,点击下一步按钮,继续设置其他参数;
    • 若测试失败,请参考右上角报错信息修改配置并重新测试,直到测试成功。
  2. 同步映射规则:设置登录属性以及AD与云平台间的用户映射、组织映射
    可参考以下示例输入相应内容:
    • 登录属性(用于AD认证):指定用于云平台登录的AD用户属性

      例如:若使用cn作为登录属性,AD用户可使用cn相应的value(例如:xiaoming)作为云平台登录名。

    • 用户映射:选择或输入AD用户与云平台用户之间的映射关系,需要设置以下参数:
      • 用户名:设置云平台用户的用户名与AD用户的用户名映射关系

        例如:若用户名映射cn,云平台创建用户的用户名将使用cn相应的value(例如:xiaoming)。

        Note: ZStack云平台中用户的用户名不能重复,若同步AD用户与云平台原有用户名重复,系统将自动为同步过来AD用户的用户名增加随机码。
      • 姓名:设置云平台用户的姓名与AD用户的姓名映射关系

        例如:若姓名映射name,云平台创建用户的姓名将使用name相应的value(例如:xiaozhang)。

      • 手机号:可选项,设置云平台用户的手机号与AD用户的手机号映射关系

        例如:若手机号映射telephoneNumber,云平台创建用户的手机号将使用telephoneNumber相应的value(例如:13800000000)。

      • 邮箱:可选项,设置云平台用户的邮箱与AD用户的邮箱映射关系

        例如:若邮箱映射mail,云平台创建用户的邮箱将使用mail相应的value(例如:xxx@xxx.xx)。

      • 编号:可选项,设置云平台用户的编号与AD用户的编号映射关系

        例如:若编号映射employeeID,云平台创建用户的编号将使用employeeID相应的value(例如:001)。

      • 简介:可选项,设置云平台用户的简介与AD用户的简介映射关系

        例如:若简介映射description,云平台创建用户的简介将使用description相应的value(例如:开发部-小明)。

      • 自定义属性:自定义用户映射属性,需要设置以下参数:
        • 系统用户属性:设置系统用户属性,可与原有属性重复,例如:工号
        • AD/LDAP用户属性:设置AD用户属性,例如:employeeID
    • 组织映射:按照Group或OU方式,将用户基本DN范围内的AD组织同步到云平台组织列表,需要设置以下参数:
      • 同步组织映射:选择是否同步映射组织,默认不勾选;勾选后,同时将用户基本DN范围内的AD组织同步到云平台组织列表
      • 映射组织方式:选择映射组织方式,用于划分AD中的用户账号
        • Group:通过Group参数区分组织架构树的子节点,将AD组织同步到云平台组织列表(推荐);
        • OU:通过OU参数区分组织架构树的子节点,将AD组织同步到云平台组织列表。
      • 组织名称:设置云平台组织的组织名称与AD组织的组织名称映射关系

        例如:若组织名称映射cn,云平台创建组织的组织名称将使用cn相应的value(例如:开发部)。

      • 组织简介:可选项,设置云平台组织的组织简介与AD组织的组织简介映射关系

        例如:若组织简介映射description,云平台创建组织的组织简介将使用description相应的value(例如:开发部-后端)

    Figure 3所示:
    Figure 3. 同步映射规则




    点击下一步按钮,系统将自动测试登录属性、用户映射、组织映射是否可以建立,成功后,自动添加映射规则。
    Note: 填写AD映射参数对应的值不能为空,否则可能导致测试失败。若测试失败,请根据右上报错信息修改后重新点击下一步按钮,直到测试并添加映射规则成功。
  3. 确认提交:查看将要添加AD服务器的相关信息,支持跳转修改
    Figure 4所示:
    Figure 4. 确认提交


    点击确定按钮,将根据设置的配置添加AD服务器,并创建第三方用户、添加组织架构。

AD服务器详情页

点击添加的AD服务器名称进入AD服务器详情页,如Figure 5所示:
Figure 5. AD服务器详情页


AD服务器详情页包括两个页面:
  • 基本属性:

    基本属性页面显示名称、简介、概览、同步映射规则等AD服务器相关的基本属性。其中,名称、简介、配置信息、自动同步支持修改。

  • 审计:

    审计页面显示AD服务器相关的操作日志。

AD服务器支持的操作

admin/平台管理员/平台成员对AD服务器及第三方用户支持操作,主要包括以下几个入口:
  • 第三方认证界面,支持以下操作:
    • 测试连接
      检查AD服务器连通性,若连接失败,可能存在以下原因:
      • AD服务器IP端口验证失败:请检查AD服务器是否正常工作以及是否有IP或端口变更。
      • 用户DN或密码连接失败:请更换最新拥有查询基本DN范围内所有用户权限的用户DN及密码。
    • 修改同步映射规则
      修改用户同步映射规则、组织同步映射规则。
      Note: 修改的同步映射规则将在下次同步AD服务器后生效,请手动点击同步按钮或设置自动同步等待下次同步。
    • 同步
      同步AD服务器将重新获取最新用户列表及组织架构。
      Note: 同步后不存在的用户将变更为已删除状态并无法登录。
    • 删除
      删除添加的AD服务器。
      Note: 删除AD服务器将同时删除同步的用户和组织,请谨慎操作。
  • AD服务器详情页支持以下操作:
    • 修改配置信息
      点击配置信息后面的修改按钮支持修改基本DN、用户DN、密码、过滤规则信息。
      Note:
      • 修改配置信息后将根据最新配置同步AD服务器,请谨慎操作。
      • 修改配置将在下次同步AD服务器后生效,请手动点击同步按钮或设置自动同步等待下次同步。
      • 同步后不存在的用户将变更为已删除状态并无法登录。
    • 自动同步
      点击自动同步后面的修改按钮支持指定同步周期并开启自动同步功能。
      Note:
      • 开启自动同步后将根据同步周期按时获取最新用户列表及组织架构。
      • 同步后不存在的用户将变更为已删除状态并无法登录。