AD 认证

身份和访问管理是任何组织网络和数据安全的重要组成部分。它可以帮助您确保遵守策略、密码管理,并充当管理用户访问控制的一种手段。

OpManager中的AD身份验证功能可以帮助您做到这一点。它允许您在OpManager中对用户进行身份验证,而无需使用外部第三方身份管理工具。它允许您授予/撤销对用户的访问和安全限制,还允许您提供基于角色的访问控制,以便在您的组织内访问OpManager

如果您有 Windows 域,则可以使 Active Directory 的密码策略为您工作。用户使用其域登录名和密码登录OpManager。这将大大降低其他人使用您的密码访问OpManager Web界面的风险,从而不仅提高了安全性,而且使用户更容易登录/创建帐户。您可以为用户(AD 组、远程办公室或所有用户)定义范围,从而根据其角色限制其访问权限。

随着软件应用程序的增加,每个应用程序都有自己的身份验证和密码复杂程度,此功能还为您省去了必须记住太多密码的有问题的。

 

如何添加AD域名?

如何配置AD自动登录设置?

如何编辑域名设置?

添加 AD 域

您可以使用AD身份验证和用户管理功能在OpManager中创建域,并在OpManager中手动创建用户。

要添加域,请执行以下操作:

1. 转到设置常规设置 →身份验证→AD 身份验证添加域

2. 在相应的字段中输入域名域控制器名称

3. 从版本 125111 开始支持 LDAPS,以确保与域控制器的安全通信。只需单击导入证书按钮,然后选择域控制器的证书即可将其添加到OpManager中。

若要详细了解如何从域控制器导出证书,请查看以下文章:

  1. 导出 LDAPS 证书并导入以用于 AD DS
  2. 基于 SSL 的 LDAP (LDAPS) 证书

4. 自动登录*默认处于禁用状态。

5. 保存设置。

6. 添加域后,您可以在用户选项卡中手动添加用户

 

配置自动登录

自动登录功能允许您将所有/单个用户或选定的 AD 组添加到任何域,并为其分配用户权限。

1. 在操作下选择要配置的域的添加/编辑

 

2. 选中启用自动登录复选框。
启用自动登录后,单击下一步为所选域中的用户配置范围。该范围将自动分配给首次登录的用户。如果未启用自动登录,则必须手动添加用户。

3. 配置自动登录

 

  • 所有用户
    若要为所有用户启用自动登录,请在用户下选择所有用户。将向登录该域的所有用户启用自动登录。
  • 选定的 AD 组
    要为选定的 AD 组启用自动登录,请在用户下选择选定的组,然后以逗号分隔值键入 AD 组的名称。将启用自动登录到您指定的 AD 组。
  • OpManager在您输入的BaseDN下搜索用户的存在。在 BaseDN 字段下,输入排名靠前的 OU 的容器路径,该组的用户位于 AD 中。它不应指向组的 DN(路径)。
  • 例如:
    • 假设要配置两个组,组1组2。这些组的用户存在于多个 OU 中
    • CN=user1,OU=Admins,OU=TestOU,DC=local,DC=com
    • CN=user2,OU=Operators,OU=TestOU,DC=local,DC=com
    • CN=user3,OU=Guests,OU=Users,OU=TestOU,DC=local,DC=com
  • 您应该在 BaseDN 字段(层次结构中的公共路径)中输入OU=TestOU, DC=local, DC=com。该路径必须至少有一个 OU/CN,并且在域设置下配置的组名区分大小写。
  • 获取用户的 baseDN(容器路径)的示例查询:

    •  
  • 如果您网域中的所有用户都无法访问 LDAP,则可以使用“使用自定义凭据进行 LDAP 绑定”选项配置自定义凭据。这些凭据将用于执行 LDAP 查询。
  • 在 Active Directory 中输入用户帐户(具有所需权限),以在绑定用户名和相应的绑定密码下执行域中的 LDAP 查询。


注意:
  • 多个 AD 组名称可以作为逗号分隔值提及。如果要添加具有不同作用域的新组,请使用“+”图标。


  • 提供的凭据应具有 LDAP 查询权限和读取“memberOf”属性的权限。

4. 启用自动登录后,选择域的用户用户权限,根据需要编辑时区,然后单击下一步。在自动登录期间,可以为 AD 用户分配选定的模块和作用域。

5. 要配置范围
模块 - 您可以选择希望用户有权访问的附加模块。

监控 - 您可以向此用户提供对所有设备或仅选定业务视图的访问权限。如果选择所有设备,则用户将有权访问OpManager模块中的所有设备。如果选择了选定的业务视图,则可以使用“全选”选项授予对所有业务视图的访问权,并使用“无标题”选项授予对无标题业务视图的访问权。

6. 保存设置。

 

编辑域设置

创建域并分配用户后,您可以随时根据需要编辑配置。您可以添加或删除 AD 用户/组、编辑用户权限以及编辑范围设置。

要添加 AD 组,请执行以下操作:

点击您选择的域旁边的加号图标,向其添加新的广告组。

要编辑时区:

操作下选择要编辑的域的编辑,根据您的要求更改时区,然后单击保存

要编辑/删除 AD 组:

1. 单击域名称旁边的箭头标记以显示其下的所有 AD 组。

2. 单击要编辑的组旁边的编辑图标,选择域的用户用户权限,然后单击下一步

3. 要编辑域中的特定用户/组,请在要编辑的域的操作下选择编辑

4. 可以通过选择只读(操作员用户)、完全控制(管理员用户)或选择具有所选访问级别的自定义用户角色来编辑 AD 组的用户权限

5. 要配置范围
模块 - 您可以选择希望用户有权访问的附加模块。

监控 - 您可以向此用户提供对所有设备或仅选定业务视图的访问权限。如果选择所有设备,则用户将有权访问 NetFlow、NCM 和防火墙的所有设备。如果选择了选定的业务视图,则可以使用“全选”选项授予对所有业务视图的访问权,并使用“无标题”选项授予对所有业务视图的访问权限。


6. 保存设置。

7. 要删除组,只需单击其旁边的删除图标即可。
对于 AD 身份验证,我们支持本地 AD 和对网络中的域控制器进行 LDAP 查询访问。