SANGFOR_AC_LDAP同步测试指导书12.doc

LDAP同步测试指导书 【LDAP同步】：将LDAP服务器上的用户和组织结构同步到AC上。使用背景是AC有结合LDAP做第三方认证或单点登录时，LDAP上的用户和组同步到AC上，AC上具有和LDAP相同的组织结构，便于管理。 准备工作 以AC4.5作为测试设备，AC以路由、网桥或旁路模式部署，均支持LDAP同步，注意不管以何种模式部署，AC上需要有和LDAP通信的IP和路由。 在一台测试电脑上安装LDAPBrowser软件。 了解客户需求，客户需要以OU同步还是以安全组同步，需要同步哪些OU或安全组 获取可以读取域信息的管理员账号和密码，建议使用 Administrator或Administrator组的用户。 预期结果 AC可以将LDAP上对应的用户和用户组完整的同步过来。 配置步骤 先使用LDAPBrowser工具获取LDAP服务器的组织结构： 这一步有两个目的，一是确认客户提供的管理员账号是否可以读取到LDAP的用户和组织结构，二是确认用户属性，组属性等，方便在AC上设置对应的参数。 以MS AD为例，LDAPBrowser读取到的信息如下： 上图显示的是用户“xxx”的信息，可以看到用户属性是“sAMAccountName”描述属性是“description”。 上图显示的是用户组“E小组”的信息，用户组中的成员用属性“member”表示，所以成员的用户组属性就是“member”（服务器设置会用到）；用户组过滤可以用（objectCategory=group）表示。 配置认证服务器： 按照第一步LDAPBrowser获取的信息，填写认证服务器信息，本例中使用的是微软域服务器MSAD，用户属性、用户组属性设置和第一步获取的属性值相同： 注意：如果使用的是MSAD，那么属性值一般不用再修改了，保持默认的即可。但如果使用的是其他类型的LDAP服务器，还是需要通过LDAPBrowser查看下各种属性值是否和设备上设置的一致。 配置同步策略： 按照OU进行同步时：选择需要同步的OU，将ou以用户组的形式同步过来，ou中的用户同步到对应的ou组中， 同步的结果如下： 按照安全组同步时： 选择需要同步的安全组，将安全组以用户组的形式同步过来，安全组中的用户同步到对应的安全组中。 注意：如果一个用户属于多个安全组，那么同步过来用户只会属于某一个组，每次同步可能会导致用户所属组改变，所以一般不要建议客户按照安全组同步。 同步的结果如下： 注意事项 安全组同步不支持嵌套，同步过来的组都是平级的，OU组织结构是支持嵌套的； 按照安全组同步时，Domain Users组的用户同步不了； 如果域的用户组或用户名是带有特殊字符的，因为AC不支持特殊字符，会导致这部分用户、用户组同步不了； 某些特殊字符可以打补丁支持，请点击0:5/dedecms/plus/view.php?aid=2819 对同步到AC上的用户进行编辑时，会有个是否转换成本地账号的提示，建议选择不转换。不转换的意思是，如果在域上对这个用户做了修改，AC也会同步修改，和ldap保持一致。 排错步骤 确认AC和域服务器之间通信正常，端口可以通； 确认填写的域服务器管理账号可以读取域组织结构，可用LDAPBrowser工具测试； 确认设置域服务器时用户属性、用户组属性等参数设置的正确，可用LDAPBrowser工具测试，查看属性值的办法请参考第三节第一步。 如果域中的用户很多，可能会导致读取组织结构超时失败，4.5R2解决了这个问题。 5、 我们ldap同步支持的用户数目是65534?支持的深度是16级，支持的组个数是5120个组。只要ldap服务器超过这3个条件中的任何一项，就会导致同步不了ldap账户，而使用ldapbrowser测试可以正常扫描到所有用户。 http:///dedecms/plus/view.php?aid=1981 如果AC和LDAPBrowser都获取不到域的组织结构，可能是给的管理员账号的权限问题，或者是域上启用了强认证等限制，建议抓包分析服务器返回的信息。 AD域同步日志：/var/log/ldpsync.log，同步不了，可以取日志看一下。 附上相关排错文档： 【分享】LDAP域同步问题排错 ?http:///dedecms/plus/view.php?aid=692 【分享】LDAP同步，错误号对照表 http:///dedecms/plus/view.php?aid=2888 【分享】ldap同步触发条件 ?http:///dedecms/plus/view.php?aid=2714