1、首先创建一个LDAP用户服务器,在用户与认证--LDAP里面选择新建
先添加LDAP自定义名称、服务器IP、服务器端口(默认389)
然后填写common name标识符,常用标识符有三种:cn (常用名)、sAMAccountName (远程登录名)、uid (用户ID)。默认为cn。
a、当标识符为cn时,我们需要知道用户的完整名称。
如Administrator的完整标识名为CN=Administrator,CN=Users,DC=test,DC=com。
b、当标识符为sAMAccountName,可以在Active Directory管理中心查看用户,可以看到SamAccountName登录方式。
如Administrator的完整表示名为test\Administrator
c、当标识符为uid时,格式为用户名@域名
如Administrator的完整表示名为Administrator@test.com
三种类型都可以使用,uid较为少用,第二种方式比较常见
2、绑定类型选择regular(常规),填入AD域用户管理员的用户名和密码(官方文档说非管理员账户也可以)
测试连接性,连接性测试成功之后,可以选择标识名称后面的浏览按钮,通过这个来限制LDAP服务器可以访问的资源,如OU、CN等。
选择完成之后可以测试用户认证信息,只要所属下方有对应用户,就可以测试成功,这就完成了LDAP服务器的配置。
3、远程组(用户组)的配置
在用户与认证-用户组里面选择新建
用户组的名称可以自定义
类型选择为防火墙类型
成员不需要添加
远程组选择添加-添加组匹配-下拉选择远程服务器,选择我们上一步配置的远程服务器
可以选择整个LDAP服务器(上一步已经配置了),也可以在LDAP服务器里面关联用户组,我做的是关联整个LDAP服务器。
4、配置管理员
在系统管理-管理员里面选择新建-管理员
用户名填写为你要匹配的LDAP用户(需要保持一致)
类型选择为在远端服务器组中匹配一个用户
备份密码:备份密码是用来当防火墙与LDAP服务器断开连接时,LDAP远程用户无法通过验证时,使用备份密码作为本地密码,让LDAP用户作为本地用户登录使用。
备份密码与确认密码配置完成后可修改,需记住
管理员配置可以选择super-admin
远端用户组选择上一步所创建的用户组
配置完成后如下图所示
如果输入密码错误,会出现认证失败的界面
PS:建议在做这个操作时先创建两三个本地用户作为后续备用,以防配置过程中存在问题导致登录不了控制台了
LDAP密码修改,飞塔也会同步认证修改,这个不需要担心。
