SAG配置文档AD域认证.docx
《SAG配置文档AD域认证.docx》由会员分享,可在线阅读,更多相关《SAG配置文档AD域认证.docx(12页珍藏版)》请在冰豆网上搜索。
SAG配置文档AD域认证
关于SAG使用AD域认证的配置说明
编制:
史岩
审核:
批准:
修订时间
修订人
修订类型
修订章节
修订内容
2007-4
史岩
A
所有
所有
*修订类型分为A-ADDEDM-MODIFIEDD–DELETED
注:
对该文件内容增加、删除或修改均需填写此记录,详细记载变更信息,以保证其可追溯
说明:
2
网络拓扑图:
2
一、Windows2000域服务器配置3
二、SAG的AD及用户认证配置5
添加AD帐号6
服务授权8
用户登录9
三、其他说明9
说明:
本文档针对SAG与windowsAD认证的结合,实现域帐号认证的功能。
测试的域名为:
测试用户为:
shiyan
网络拓扑图:
典型拓扑
本次拓扑
Windows2000域服务器配置
所有用户均在Users缺省路径下:
添加一个用户:
例shiyan
上图:
确认登陆的用户名,为shiyan,授权时的用户名也应该相同。
SAG的AD及用户认证配置
认证支持---AD界面下配置
注意!
这里是大小写敏感的,请一定小心。
●鉴别方式:
一般选择简单口令
●用户DN模式:
%user%不要更改,只需要对照AD的域名更改@后面的内容。
在本例中使用的域名是。
●帐号共享:
是否允许多人同时使用同一个帐号登录。
●期用缓存:
把帐号信息存在SAG的缓存中,可以提高效率
●基准名字:
就是目录结构,在实施时请一定要客户的工程师在场协助配置,AD服务器的配置只有客户工程师最清楚。
目录结构:
本例中没有使用.cn的顶级域名,故管理员基准名字处填写CN=Users,DC=shiyan,DC=com。
如果在域名中出现了国家标识,如cn,则要在最后补上DC=cn。
例如CN=Users,DC=sina,DC=com,DC=cn
●鉴别方式:
一般选择口令登录
●管理员名字:
输入域中管理员的帐号,本例中的管理员是shiyan,故在此处输入CN=shiyan,CN=users,DC=shiyan,DC=com
●管理员口令:
输入域管理员的口令
在完成配置后,点击探测按钮,如果显示探测成功则说明添加正确,已经能和AD服务器联动了。
添加AD帐号
在测试通过后我们进入接入管理—角色管理,添加一个角色。
点击刚刚新创建的角色test
选择增加口令用户,并选择AD用户
在后续出现的页面中选择我们在认证支持界面下配置的管理基准名字。
点击后如果能够显示出AD服务器里的帐号信息,就说明配置成功了。
勾选要进行授权的帐号,点击加入到角色。
这样在test角色下面就可以看到刚刚添加的两个AD帐号shiyan和yard
注:
SAG会默认将所有AD认证帐号归属到系统内置角色“所有AD口令用户”中,所以,如果不需要对AD认证的不同帐号进行不同的授权,可以不必做把账号加入到角色的操作。
最后我们在认证支持的认证顺序中根据需要选择匹配帐号的先后顺序
服务授权
现在我们要把已经定义好的服务的权限下发给角色test,这部分属于基础操作不在此赘述,如不清楚请见快速开始手册。
注:
SAG会默认将所有AD认证帐号归属到系统内置角色“所有AD口令用户”中,所以,如果不需要对AD认证的不同帐号进行不同的授权,可以把服务授权给所有AD口令用户。
用户登录
用户在登录时不需要再输入域名等信息,只要输入帐号名就可以访问了。
(SAG会自动的按照用户DN方式中定义的格式把认证信息补全,在这里SAG实际提交的认证信息是shiyan@)
其他说明
LDAP(微软AD域采用自见organizationalUnit组织单元)的描述方式:
例:
在AD域服务器上建立markting组织单元,在markting组织单元下建立accounts组织单元,在accounts下建立用户ttt。
LDAP的目录结构:
LDAP目录结构
AD域结构
上图:
“markting”为一个组织单元。
上图:
“accounts”为markting下的组织单元。
SAG的LDAP配置方式是:
ou=accounts,ou=markting,dc=test,dc=com,dc=cn