SANGFORAC 第三方域认证及AD域同步配置.pdf

SANGFORAC AD SANGFORAC AD SSAANNGGFFOORRAACC 第三方域认证及AADD域同步配置 一、第三方域认证配置： 1. 认证服务器设置： 点击“新增”按钮，“服务器类型”选择LDAP，出现如下页面： IP IP IIPP地址：填域服务器的IP 地址 1 认证端口：默认配置是389端口，如果域服务器修改过端口，请填相应的端口。 超时： 默认配置是5秒，如果域用户较多，可以适当改大超时时间。 服务器用户： 请填写拥有读取域服务器用户权限的账号，一般填写管理员帐户，格式为 Administrator@ 用户密码：填写的账号对应的密码 类型：LDAP 服务器支持MicrosoftActiveDirectory、SUN LDAP 和OPENLDAP 三种LDAP 服务器，可根据实际情况选取相应的服务器。 默认是MicrosoftActive Directory，即常见的 AD域类型。 其他配置请保持默认值，点击“确定”保存配置。 2.域用户认证（这里只介绍第三方域认证，域单点登陆的配置请参见《域单点登陆配置文档 》） 域用户添加分为三种方式： 1）手动添加： 手动新增用户，登陆名为域用户名，认证方式选择密码认证，勾选LDAP 认证。 2）通过新用户认证策略，自动添加： 2 点击“新增”，新增新用户认证策略，或者点击新用户认证策略的名称进行编辑： 选择新用户的处理方式到服务器去验证，选择到LDAP 服务器去验证，并勾选认证成功 的新用户，自动添加到以上的组织结构中。 3）通过AD域同步，把域用户自动同步到AC 组织结构中，如下章节介绍。 AD AD 二、AADD域自动同步配置： AD域同步目前只支持MSActiveDirectory。同步方式分两类：“按AD域组织结构同步”和“按 AD域安全组同步”，两种工作模式不能同时使用，选择一种工作模式，点击“保存”即可完成 选择。 3 1. 按照AD域组织结构同步 “按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的。 选择工作模式“按AD域组织结构同步”后，点击“新增策略”，出现以下配置页面： 4 自动同步：用于设置是否自动同步，启用后，设备会在每天的0点-5点随机选择时间 和域同步。如果禁用，设备不会自动同步域用户，只能手动同步。 AD AD AADD域服务器：用于选择需要同步的域服务器。前面已经介绍过如何设置域认证服务器。 导入到本地位置：用于设置此条域同步策略将域用户和组织结构同步到AC 的某个组。 点击“选择”出现AC 的组织结构，选择要同步的本地位置 按服务器域中关系导入：勾选此项，则域服务器中的DC也会同时导入 要导入的远程目标：此处用于设置需要同步的域服务器的OU。点击“选择”出现域服务 器的组织结构（以OU为单位），选择需要同步的OU。 过滤参数：用于设置同步的过滤条件，根据域参数设置过滤条件。此处不填默认为不限 制。 OU OU 从哪级OOUU开始导入：用于设置从哪级OU开始导入，选择“从所填OU开始导入”即从 所填的OU开始导入，选择“从所填OU的子OU开始导入”即从子OU开始导入，上级OU 及上级OU直属用户都不会导入。 OU OU 导入OOUU的最深深度：用于设置导入的OU的深度，从开始导入的OU算起，最多支持 深度为15。此处为例深度为2，则此处只会导入ou1 和ou1下一级OU，再下一级的OU不 会导入，但此OU下的用户也会导入并同步到该组。 设置好策略，点击“确定”此策略设置保存成功。策略页面显示如下： 5 点击“立即同步”，根据策略立即同步。 点击“刷新”，查看同步状态，同步成功显示界面如