云堡垒机新增支持 AD 认证,可将 AD 服务器中的用户同步到云堡垒机,直接作为云堡垒机的用户使用。本文为您介绍如何配置 AD 认证相关信息。
背景信息
LDAP(Lightweight Directory Access Protocol)作为轻量级目录访问协议,可提供标准的目录服务。而微软的 WindowsAD 软件(简称 AD),以及众多流行的 Linux 发行版中提供的 OpenLDAP 软件(简称 LDAP),均是基于 LDAP 协议实现的为日益多样化企业办公应用提供的一套独立、标准登录认证系统。
云堡垒机支持 AD 认证,可将 AD 服务器中的用户同步到云堡垒机,直接作为云堡垒机的用户使用。
前提条件
AD 认证相关所有配置均需要基于已有环境中的真实配置进行填充。确保已经搭建 AD 认证环境,并获取到 AD 服务器及认证登录相关信息。
操作步骤
- 登录 云堡垒机控制台。
- 在左侧导航栏,选择 云堡垒机。
- 单击目标云堡垒机名称,进入云堡垒机管理页面。
- 在左侧导航栏,选择 系统配置。
- 在 AD 认证 页签,配置 AD 认证相关信息。
| 配置项 | 说明 |
|---|---|
| 服务器地址 | AD 服务器地址,支持域名或 IPv4 地址,根据实际情况配置即可。例如:2.2.2.2。 |
| 备用服务器地址 | 备用/容灾 AD 服务器地址,支持域名或 IPv4 地址。若实际场景搭建了备用服务器,可进行相关配置;若实际场景并未搭建备用服务器,留空即可。 |
端口 | AD 服务器上的监听端口,通常为 389 或 636。 说明 若认证服务器开启了 SSL,务必勾选输入框后的 SSL 开启功能,SSL 功能开启后,将以 |
服务器 DN | 用户搜索的起点,通常由 CN、OU、DC 组成,分别表示用户信息名称、所属组织名称、所属区域名称。 |
| 域 | 指定 AD 认证服务器中的域。 |
| 管理员账号 | 配置 AD 认证服务器中具有域管理权限的服务器管理员账号,也可使用只读 admin。例如:admin@example.com 或cn=admin,dc=example,dc=com。 |
| 密码 | 管理员账号对应的密码。 |
| 过滤器 | 搜索时用到的过滤器,配置属性过滤参数,可限定认证服务器中的账号范围。若留空不配置,默认过滤器为(&(objectClass=user)(objectCategory=person))。 |
| 同步用户账号 | 自动同步用户的时间间隔。若配置为 0,表示不进行自动同步。 |
用户名 | AD 服务上用户名对应的属性名,可根据认证服务器的实际配置与域管理员实际需求,配置为对应认证服务器中用户名的属性名称。若留空不配置,默认为 说明 使用该属性时,若登录用户名为 |
邮箱 | AD 服务器上用户邮箱对应的属性名。若留空不配置,默认为: 说明 开启邮箱双因子认证时,此属性值不能为空。否则将无法收到双因子认证码,导致用户无法登录。 |
手机 | AD 服务器上用户手机对应的属性名,若留空不配置,默认为: 说明 开启手机双因子认证时,此属性不能为空。否则将无法收到双因子认证码,导致用户无法登录。 |
- 单击 启用 AD 认证,开始检查配置连通性,完成后即可正式开启 AD 认证并同步 AD 服务器中的用户。
说明
若启用 AD 认证时报错,请检查配置是否与真实环境匹配,更新后重新启用 AD 认证。
后续操作
- AD 认证配置完成并连接正常后,可前往用户页面,将 AD 用户导入云堡垒机。详细介绍参见:导入 AD 用户。
- 若后续不再使用 AD 认证功能,可单击 关闭 AD 认证,将此功能关闭。