单点登录身份验证

单点登录认证(单点登录)提供了在OpManager中使用当前登录的windows系统用户名和密码自动验证自己的能力。无需手动输入您的windows凭据即可登录到OpManager web客户端。

先决条件:

  • 配置Active Directory身份验证

    必须在OpManager中为要启用单点登录身份验证的域配置Active directory身份验证。 点击此处了解如何在OpManager的Active Directory身份验证下添加域。

  • OpManager中创建必要的用户帐户

    要启用单点登录的用户帐户必须已经在OPManager中可用。点击此处了解如何添加新用户。

    注意:单点登录身份验证仅适用于已添加到OpManager用户。如果您不想为域中的所有用户手动创建用户帐户,请为域启用自动登录(管理 → 用户管理 → Windows域)。启用自动登录后,您只需在首次登录时手动输入帐户的用户名和密码,OpManager中的用户帐户将自动创建。自此之后,您无需手动输入即可轻松工作。

  • 创建计算机帐户:

    必须在域控制器中创建计算机帐户,才能通过OpManager访问域中的NETLOGON服务。点击此处了解如何创建新的计算机用户

    注意:在版本124085之后,如果OpManager服务在具有管理权限的用户下运行,则可以从 单点登录 配置窗口本身创建新的计算机帐户。此外如果OpManager服务器已从命令提示符启动,请确保它以管理员身份运行

  • 在浏览器中将OpManager配置为受信任的站点:

    必须将OpManager Web服务器添加为您将用于访问OpManager Web客户端的所有浏览器中的受信任站点,从而防止浏览器打开不必要的弹出窗口来提供您的凭证。

    要配置受信任的站点,请执行以下步骤:

    • 对于Internet Explorer(同样适用于Chrome):

      打开 控制面板 → 网络与互联网 → 互联网选项 → 服务 → 本地内部网 → 网站 → 高级设置。进入OPManager服务器URL,点击添加

    • 对于 Firefox:

      在URL框中输入about:config。如果显示告警页面,请点击"我会小心。我保证"按钮。在结果页面中,搜索ntlm。双击选项network.automatic-ntlm-auth.trusted-uris。在文本框中输入OpManager服务器URL,然后点击确定。(可以输入多个站点条目,并以逗号分隔)

OpManager中配置单点登录身份验证:

确保所有先决条件后,请按照以下步骤在OpManager中自动配置单点登录身份验证:

  • 进入设置 > 常规设置 > 认证 > 单点登录认证选项卡;
  • 点击“启用”按钮,然后从下拉列表中选择所需的域;
  • 点击“获取”可以从域控制器获取所有必要的凭证,例如绑定字符串、DNS服务器IP和DNS站点;

    注意:如果在获取必要的详细信息时出现任何问题,或者如果您使用的是低于124085的OpManager版本,则必须手动配置这些设置

  • 此外,输入域控制器的计算机帐户和密码(计算机帐户名称必须小于或等于15个字符)。如果您提供了错误的凭证,将显示一条错误消息,指出帐户名或密码是否错误,或者该帐户不存在。
  • 在版本124085之后,如果OpManager服务在具有管理员权限的用户下运行,则将使用提供的帐户名称创建一个帐户,即使该帐户尚不存在。
  • 另外如果您想更新密码,只需选中“覆盖现有计算机帐户密码”复选框,计算机帐户的现有密码将被您在“密码”字段中提供的值覆盖。
  • 要验证提供的详细信息是否正确,请点击“保存并测试”。如果正确提供了所有详细信息,屏幕上将显示一条成功消息。如果有问题,将显示传递的参数中可能存在的错误。纠正这些错误,然后点击“保存”
  • 或者如果您对提供的凭证有信心,则可以直接点击“保存”

 

手动配置单点登录认证

要手动配置单点登录身份验证,需要以下详细信息:

  1. 域名: 域的NETBIOS名称。例如:OPMANHV (如何查找它?)
  2. 绑定字符串:域的DNS名称。例如:opmanhv.com (如何查找?)
  3. DNS服务器IP:DNS服务器的主IP地址。(如果有多个DNS服务器IP,用逗号分隔) (如何查找?)
  4. DNS站点:列出域控制器的站点。(如何查找?)
  5. 计算机账户:创建计算机账户的名称。
    例如: mytestacc$@OPMANHV.COM
    (对于124085之前的OpManager版本,必须在 $@domain_dns_name后面附加账户名)
    请注意,计算机账户名称必须少于或等于15个字符
  6. 密码:电脑账号密码。

 

1 & 2 - 获取域DNS名称和NETBIOS名称:

在域控制器设备中,打开开始 → 管理工具 → Active Directory用户和计算机

 

3 - 获取DNS服务器IP:

在OPManager服务器中打开命令提示符。运行命令"ipconfig /all"。在DNS服务器字段中提到的第一个IP地址是主DNS服务器的IP地址。

 

 

4 - 获取DNS站点:

在域控制器设备中,打开开始 → 管理工具 → Active Directory站点和服务。列出域控制器设备名称的站点是用户的站点名称。如果域控制器中只有一个站点,可以在OpManager的单点登录配置表单中将DNS站点字段留空。

 

创建一个新的计算机账户

要创建新的计算机帐户,请按照以下步骤操作:

  • 运行OpManager_Home\conf\OpManager\application\scripts下的脚本NewComputerAccount.vbs从而创建新的计算机帐户。

    cscript NewComputerAccount.vbs account_name /p password /d domain_name

  • 要重置现有计算机帐户的密码,请运行OpManager_Home\conf\OpManager\application\scripts下的脚本SetComputerPass.vbs从而创建新的计算机账户。

    cscript SetComputerPass.vbs account_name /p password /d domain_name

  • 确保您提供的密码符合该域的密码策略。不要使用AD 本机客户端中的新计算机帐户选项,该选项不允许您选择密码。如果您在从OpManager服务器运行此脚本时遇到问题,请将脚本复制到域控制器计算机本身并尝试运行它。

注意:计算机账户名的长度必须小于或等于15个字符

设计限制:

  • 只能为一个域启用单点登录身份验证,最好是OpManager服务器所在的域。如果为OpManager服务器所在以外的域配置了单点登录请确保其他域将登录用户信息提供给来自不同域的网站。

禁用单点登录身份验证:

OpManager网络客户端中,点击设置 → 基本设置 → 用户管理 → 单点登录。使用单选按钮可以启用/禁用单点登录身份验证。

日志文件:

如果您遇到单点登录身份验证的任何问题,请使用OpManager_Home\logs文件夹下日志的ZIP文件联系支持人员

 

 

Back to Top