从 LDAP 导入用户
您可以在您的环境中将PAM360与LDAP(如活动目录)集成起来。
所需步骤
从 LDAP 目录导入用户涉及三个步骤。
首先,导航到管理 >> 验证 >> LDAP,将显示LDAP 服务器配置页面。
步骤 1- 从 LDAP 导入用户
第一步是提供所需的凭据详细信息,然后导入从 LDAP 的用户。 请参考以下步骤:
- 点击LDAP配置页面中的立即导入按钮,您也可以从用户 >> 添加用户>>从 LDAP 导入进入此操作。
- 在弹出窗口中填写所需的详细信息:
- 您可以配置LDAP服务器与PAM360之间的连接方式为(SSL)或非SSL。如果您选择的是SSL模式,请按如下步骤操作,否则,请直接跳到步骤 2。
- 按照如下格式输入LDAP供应商的url://ldap服务器主机:端口号(例如ldap://192.168.4.83:389/)
- 输入LDAP中已存在的任意一个用户的认证信息。格式需按照该用户在您的应用中认证时提交的格式。例如,cn=Eric,cn=Users,dc=adventnet,dc=com
- 输入用户的密码。
- 这是目录查找的“base”或“root”。输入LDAP base(LDAP目录的最高级)。请按照您LDAP中使用的格式输入,在逗号或等号“=”之间不允许有空格,并区分大小写。
- 如果您想要从LDAP目录中添加某些特定用户,就可以使用相应的搜索过滤器来执行搜索。例如,对于仅添加那些属于“Managers”分类的用户,需要创建一个典型的过滤器如: ou=Managers,ou=Groups,dc=adventnet,dc=com
- 从LDAP中导入用户时,PAM360会自动将全部导入的用户创建为一个用户组。如果您启用同步的话,用户组会根据您创建的搜索过滤器进行同步。
- 选择 LDAP 服务器类型
- Microsoft Active Directory(或)
- Novell eDirectory(或)
- OpenLDAP (或)
- 其它
- 如果您的LDAP服务器属于Microsoft Active Directory/Novell eDirectory/OpenLDAP类型中的一个,可以选择相应的类型并点击“保存”
LDAP服务的SSL模式通过636端口提供服务,您必须将 LDAP 服务器的根证书、 LDAP 服务器证书和相应根证书链中存在的所有其他证书导入PAM360服务器所在机器的证书库。
要导入证书,请打开命令提示符并导航到<PAM360安装目录>\bin,执行以下命令:
Windows:
importCert.bat <证书的绝对路径>
Linux:
importCert.sh <证书的绝对路径>
重新启动 PAM360 服务器,然后执行以下步骤。
如果您的LDAP服务器属于Microsoft Active Directory/Novell eDirectory/OpenLDAP之外的类型,您需要添加另外的信息来验证用户:
- 在您的LDAP架构中的“登录属性”文本字段输入用户登录属性。例如,对于使用AD的LDAP来说,这条属性应该是"sAMAccountName" 。而对于 OpenLDAP来说,则是"uid"。如果您正在使用的是其他LDAP,请根据您的LDAP架构来填写相应的信息。
- 在您的LDAP架构中的“邮件属性”文本字段输入邮件属性。例如,对于使用AD的LDAP来说,这条属性应该 "mail"。如果您正在使用的是其他LDAP,请根据您的LDAP架构来填写相应的信息。
- 输入特有的名称属性——也就是唯一定义了这个对象的LDAP属性。例如,对于使用AD的LDAP来说,这条属性应该是 "distinguishedName" 。而对于 OpenLDAP来说,则是 "dn"。如果您正在使用的是其他LDAP,请根据您的LDAP架构来填写相应的信息。
- 点击“导入”。在点击“保存”之后,PAM360会开始从LDAP中添加全部用户。在之后的导入中,只有LDAP中的新用户会被添加到本地数据库中。在导入过程中,每个用户都会通过关于其账号信息的邮件通知,以及当LDAP认证被禁用后,他们可用于登陆PAM360时所用的账户及密码。
配置同步和管理 LDAP 服务器详细信息
(功能仅在企业版中可用)当新用户被添加到LDAP后,可以选择自动将这些新用户添加到PAM360并且保持用户数据库同步。这一步可在 “LDAP服务器明细” 页面中执行,请在步骤1的页面中点击“LDAP服务器明细” 按钮进行设置。该界面是为了管理与PAM360集成的LDAP服务器上的全部配置而设计的一站式界面。
- 您可以编辑现有的 LDAP 服务器详细信息。
- 您可以配置用户数据库同步。 输入PAM360与LDAP服务器同步的时间间隔,该时间间隔可以精确至分钟,也可以是小时/天的间隔范围。
- 您还可以从 LDAP 导入用户。
步骤 2- 指定用户角色
默认情况下,从 LDAP 导入的所有用户都将分配密码用户角色。要给用户指定角色,请参考以下步骤:
- 导航到步骤2管理 >> 验证 >> LDAP 然后点击"立即分配角色"。
- 在弹出窗口中,列出了所有从LDAP导入的用户。
- 选择您想要更改角色的用户,点击更改角色并从下拉列表中选择相应的角色。
- 点击“保存”完成操作。
步骤 3- 启用 LDAP 验证
最后一步是启用 LDAP 身份验证,这可以让您的用户使用LDAP目录密码登录到 PAM360。 请注意,这适用已从LDAP导入PMA360的用户。
注意:确保从 LDAP 导入的用户中至少有一个是"管理员"角色。