概述:
本文档提供了在Windows平台上配置cnMaestro用户认证的Active directory设置的相关信息。
先决条件:
Windows Server 2012R2安装了Active Directory。
配置:以下步骤配置cnMaestro用于管理帐户认证,使用Active Directory作为主要的认证器(本地用户数据库将成为次要的)。
Step1:增加新的组织单位
- 导航到管理工具>活动目录用户和计算机
- 右键点击域名并创建新的组织单位。
步骤2:在组织单位下添加组
- 选择组织单位。
- 右键单击并选择Group。
- 添加默认设置的组名,如下图所示。
注意:为每个角色创建4个组(超级管理员、管理员、操作员、监视器)。组名与允许的字符应该是唯一的。
步骤3:在组织单位下添加用户。
- 选择组织单位。
- 右键单击并创建新用户。
- 填写用户详细信息,单击“下一步”并创建密码。
- 最后提交以创建用户
注意:使用唯一的名称创建多个用户
步骤4:用户与组的映射
- 右键单击用户并选择属性。
- 选择Member Of并单击Add选项。
- 选择组选项将弹出。
- 输入用户要映射到的组名,然后单击Ok。
- 将所有用户映射到所需的组。
注意:用户和组之间的映射必须是唯一的,一个用户不能存在于多个组中。
步骤5:cnMaestro配置
- 导航到应用>用户>认证服务器在cnMaestro On-Premises UI中创建Active directory条目。
- 配置“Server Name”、“Active directory服务器IP”和“Base DN”。
- 根据角色映射中的要求,输入先前在Active Directory服务器中创建的组名。
例如:如果在Active directory服务器上创建了组名为“super_user_auto”,则在“超级管理员”字段中输入相同的组名。在其余字段下填写其他组名。
- 这个组下的用户将根据角色映射进行区分。
注意:如果启用SSL/TLS安全,请上传Active Directory服务器的根证书,并在“IP地址/主机名”列中填写“主机名”,而不是“IP地址”。
导航到应用>用户>认证并设置主要验证作为刚刚创建的Active Directory服务器。的二次验证将自动设置为本地用户,这意味着如果Active Directory服务器不可达,用户界面可以使用本地用户数据库访问(因此重要的是修改默认密码)。如果无法登录界面,可以通过CLI创建一次性密码来解决。详细信息请参见《用户指南》应用程序帐户恢复。
注意:使用带域名的完整用户名登录cnMaestro,因为cnMaestro不做用户名绑定DN。