AD/LDAP同步
iMaster NCE-Campus触发外部数据源同步的机制
问题
iMaster NCE-Campus触发外部数据源同步的机制有哪些?
回答
方式 |
说明 |
|---|---|
立即同步 |
又称手工同步,是指管理员通过手工立即触发同步任务执行。适用于初次同步或需要短期内把用户组和帐号从外部数据源同步到iMaster NCE-Campus。 |
周期同步 |
是指iMaster NCE-Campus根据管理员预设的时间定期从外部数据源同步用户组和帐号。适用于无人值守式触发同步任务。 在同步周期到来之前,如果管理员在外部数据源对帐号或用户组进行了更新,可能会导致外部数据源和iMaster NCE-Campus帐号不一致的现象。 |
快速同步 |
是指终端用户使用外部数据源帐号通过认证后,如果iMaster NCE-Campus在数据库未找到该帐号,iMaster NCE-Campus会自动从外部数据源同步该帐号及所属的用户组。 快速同步是自动触发的,无须管理员参与,管理员无法禁止快速同步功能。 |
如何使用AD/LDAP查看工具
问题
如何使用AD/LDAP查看工具直观查看AD/LDAP服务器的组织结构,基准DN,OU、组和用户属性?
回答
请自行下载Apache Directory Studio、JXplorer或Active Directory Explorer,下面以Apache Directory Studio Version: 1.5.3.v20100330、JXplorer V3.3.1连接AD服务器为例。
- Apache Directory Studio连接AD服务器
- 安装完成后打开Apache Directory Studio,选择“File > New”。
- 选择“LDAP Connection”,单击“Next”。
- 输入连接名称、AD/LDAP服务器IP地址、端口、是否加密连接。单击“Next”。
- 输入DN/帐号和密码,测试验证成功后单击“Finish”。
- 连接成功后如下图所示。
- JXplorer连接AD服务器
- 安装完成后打开JXplorer,选择“档案 > 连接”。
- 输入AD/LDAP服务器IP地址,基准DN,帐号和密码。单击“确定”。
- 连接成功后如下图所示。
- 安装完成后打开JXplorer,选择“档案 > 连接”。
如何获取AD域名
问题
在配置AD服务器作为iMaster NCE-Campus第三方数据源时,需要填写AD域名,如何获取?
回答
以administrator帐号登录AD服务器操作系统,选择“开始 > 管理工具 > Active Directory 用户和计算机”。
根节点名称即为AD域名,形式为example.com,如下图的yzz.com。
如何获取基准DN
问题
在配置AD/LDAP服务器作为iMaster NCE-Campus第三方数据源时,需要填写基准DN,如何获取?
回答
基准DN,即根节点DN。建议通过Apache Directory Studio或JXplorer查看基准DN,如何使用AD/LDAP查看工具。
通过Apache Directory Studio连接AD/LDAP服务器后查看根节点DN。图6-7以AD服务器为例,基准DN为DC=yzz,DC=com。
如果未安装Apache Directory Studio或JXplorer,也可以登录AD/LDAP服务器以命令行方式查看基准DN,以AD服务器为例:
C:\Users\Administrator>dsquery ou forestroot -limit 0 | more
"OU=Domain Controllers,DC=yzz,DC=com"
"OU=ou1,DC=yzz,DC=com"
"OU=qita,OU=ou1,DC=yzz,DC=com"
"OU=yanfa1,OU=ou1,DC=yzz,DC=com"
"OU=xinde,OU=yanfa1,OU=ou1,DC=yzz,DC=com"
"OU=depart_liqin,DC=yzz,DC=com"
"OU=ad182_dep1,DC=yzz,DC=com"
"OU=ad162_dep2,DC=yzz,DC=com"
"OU=dep1_AD1,OU=ad182_dep1,DC=yzz,DC=com"
"OU=dep1_AD2,OU=ad182_dep1,DC=yzz,DC=com"
"OU=dep2_AD2,OU=dep1_AD2,OU=ad182_dep1,DC=yzz,DC=com"
"OU=dep1_AD3,OU=ad182_dep1,DC=yzz,DC=com"
"OU=dep1_AD4,OU=ad182_dep1,DC=yzz,DC=com"
"OU=dep2_AD4,OU=dep1_AD4,OU=ad182_dep1,DC=yzz,DC=com"
"OU=depart_liqin01,DC=yzz,DC=com"
"OU=moshi2,DC=yzz,DC=com"
"OU=moshi3,DC=yzz,DC=com"
"OU=moshi5,DC=yzz,DC=com"
"OU=moshi5_AD1,OU=moshi5,DC=yzz,DC=com"
"OU=ZK1,DC=yzz,DC=com"
"OU=zk2,DC=yzz,DC=com"
如何创建同步帐号
问题
在配置AD/LDAP服务器作为iMaster NCE-Campus第三方数据源时,需要填写同步帐号和密码,如何创建同步帐号?
回答
同步帐号密码用于将AD/LDAP上的数据同步到iMaster NCE-Campus。可以使用已有AD/LDAP帐号或新建帐号用于同步。
- 在AD服务器新建同步帐号
- 以administrator帐号登录AD服务器操作系统。
- 选择“开始 > 管理工具 > Active Directory 用户和计算机”。
- 右击基准DN,选择“新建 > 用户”。
- 按步骤设置帐号密码。
如何获取AD/LDAP服务器对象(如OU/组和用户)属性
问题
在配置AD/LDAP同步中需要设置AD/LDAP服务器OU/组、用户属性与iMaster NCE-Campus的用户组、帐号映射关系,如何获取AD/LDAP服务器的OU/组、用户属性?
回答
一般情况下无需设置,iMaster NCE-Campus默认已适用于常见场景。如无法满足请获取AD/LDAP服务器OU/组和用户属性后手动设置映射关系。
- 通过Apache Directory Studio、JXplorer或Active Directory Explorer连接AD/LDAP服务器,具体步骤参见如何使用AD/LDAP查看工具,下面以Apache Directory Studio为例。
- 分别查看OU和用户的属性。
objectClass属性可能有多个值,多个值之间从左到右层级依次降低。
例如OU和用户的最顶级都是top,那么通过objectClass=top是无法区分OU和用户的,只有通过objectClass=organizationalUnit来标识OU,通过objectClass=person或objectClass=organizationalPerson来标识用户。
如何割接AD域控制器
问题
外部数据源采用Microsoft AD域帐号的场景下,因业务发展需要管理员重新部署了一台全新域名(AD域名为new.example.com)的Microsoft AD域控制器,而旧的AD域控制器(AD域名为old.example.com)将弃用。如何割接AD域控制器?
回答
- 把RADIUS服务器退出域。
- 右键单击“计算机”,选择“属性”。
- 单击“高级系统设置”,选择“计算机名”。
- 单击“更改”。
- 输入工作组名称,单击“确定”。
- 输入旧域帐号和密码,确定退出域。
- 重新启动操作系统。
- 把RADIUS服务器加入域。
- 以Administrator帐号登录操作系统后右键单击“计算机”,选择“属性”。
- 单击“高级系统设置”,选择“计算机名”。
- 单击“更改”。
- 输入域的完整名称,单击“确定”。
- 输入新域帐号和密码,确定加入域。
- 重新启动操作系统。
- 在业务管理器清除旧的Microsfoft AD域控制器信息。
- 登录iMaster NCE-Campus。
- 选择,选中旧的Microsoft AD域控制器,单击“删除”,清除旧的Microsoft AD域控制器信息。
- 把新的Microsoft AD域控制器中的用户组和帐号同步到业务管理器。
AD/LDAP同步到iMaster NCE-Campus的用户组和帐号有什么要求
问题
AD/LDAP同步到iMaster NCE-Campus的用户组和帐号有什么要求?
回答
参数 |
最大长度 |
|---|---|
用户组名称 |
200byte |
地址 |
200byte |
邮编 |
50byte |
管理员邮箱 |
100byte |
描述 |
200byte |
参数 |
最大长度 |
|---|---|
帐号 |
64byte |
用户名 |
64byte |
用户ID |
50byte |
职务 |
100byte |
办公电话 |
100byte |
移动电话 |
100byte |
办公地址 |
200byte |
100byte |
|
描述 |
200byte |
要确保外部认证数据源的用户组、终端用户和帐号能够成功同步至业务管理器,用户组、终端用户和帐号不能包含特殊字符。
- 用户组和帐号不支持的特殊字符有:等号(=)、双引号(")。
- 用户不支持的字符有:等号(=)、双引号(")。
如果外部数据源的用户组、终端用户或帐号名称包含上述列出的特殊字符,则包含特殊字符的用户组、终端用户、帐号将不会被同步至iMaster NCE-Campus。
在用户组、终端用户或帐号包含特殊字符的情况下,如果需要将用户组、终端用户、帐号同步至iMaster NCE-Campus,必须先在外部数据源对包含特殊字符的用户组、终端用户或帐号进行重新命名,删除名称包含的特殊字符,再执行同步操作。
同步的用户组被设置为主要组属性后,如何配置iMaster NCE-Campus的AD-LDAP同步数据源?
问题
如果同步的用户组被设置为主要组属性,那么如何配置iMaster NCE-Campus的AD-LDAP同步数据源?
回答
- 选择,填写对接参数。
- 在“选择同步方式”中选择“按条件同步”。
- 在“配置同步范围”中增加并配置同步范围。表6-9 同步范围的参数说明
参数名
参数值
说明
名称
sample
-
目标用户组
ROOT
AD-LDAP用户同步到iMaster NCE-Campus后,存放在此用户组。
所属OU
-
同步用户的源OU,如未指定表示同步范围是整个基准DN中符合条件的用户。
属性
primaryGroupID
-
关系
is
-
值
835721
primaryGroupID的Value值。在AD Explorer中根据同步用户所属OU可以查询到对应的primaryGroupID信息,包括primaryGroupID的Value值。
过滤条件
(primaryGroupID=835721)
-
当数据源上存在超规格用户且仅基于用户组授权的情况下,如何配置iMaster NCE-Campus的AD-LDAP同步数据源?
问题
当数据源上存在超规格用户且仅基于用户组授权的情况下,如何配置iMaster NCE-Campus的AD-LDAP同步数据源?
回答
- 选择,填写对接参数。
- 在“选择同步方式”中选择“模式1(按OU同步)”。
- 在“同步设置”中选择“周期同步”。
如何在AD服务器启用SSL
问题
在iMaster NCE-Campus增加AD/LDAP同步数据源时默认启用了SSL,但是一般情况下AD服务器不支持SSL,需要到AD服务器启用SSL。
回答
- 选择“开始 > 管理工具 > 服务器管理器”,打开服务器管理器。
- 在服务器管理器右上角选择“工具 > Internet Information Services(IIS)管理器”,打开Internet Information Services(IIS)管理器。
- 选择“%Server% > 网站 > Default Web Site”,其中“%Server%”以实际路径为准。
- 右键单击“Default Web Site”,选择“绑定”。
- 在“网站绑定”页面单击“增加”,添加网站绑定。
- 选择“https”类型,单击“选择”,选择使用HTTPS方式时绑定的SSL证书。
- 单击“确定”。
