统一身份认证
本文档主要介绍如何将 CloudDM Team 产品接入企业的 OpenLDAP 或 Active Directory 域 以实现统一身份认证。
约束限制
CloudDM Team 版在使用统一身份认证功能时候具有如下约束限制:
- 统一身份认证 配置需要由主账号进行。
- 多个主账号之间 统一身份认证配置 彼此独立。
- 主账号在配置子账号登录认证方式时只能选择一种。
- 内置账号(默认)
- OpenLDAP
- Active Directory 域
- 在开启统一身份认证配置后 系统设置 > 子账号管理 页面中的添加子账号。
服务提供者
OpenLDAP 认证
- 在接入 OpenLDAP 后登录 CloudDM Team 系统时账号的有效性验证将会由 OpenLDAP 进行。
- 用户首次登录时会根据其 OpenLDAP 用户的 gidNumber 属性确定其 CloudDM Team 角色归属。具体参考高级选项参数 ldapRoleMap。
- 使用 OpenLDAP 认证后用户账号密码的强度和过期策略将会交由 OpenLDAP 进行管理。
例如存在如下 OpenLDAP 服务器信息
LDAP 服务器:192.168.0.100
LDAP Domain:clougence.com
LDAP Base DN:dc=clougence,dc=com
LDAP 服务账号:cn=admin,dc=clougence,dc=com
LDAP 服务密码:admin
CloudDM Team 版开启 OpenLDAP 认证步骤如下:
- 使用主账号登录 CloudDM Team 产品。
- 进入页面 系统设置 > 系统偏好 > 通用参数 选项卡。
- 参考如下表格修改配置项。最后点击右上角 保存 按钮后 确认 保存。
(必选) 需要修改的配置
配置项 │ 修改后 │ 说明
────────────────────┼─────────────────────────────────┼──────────────────────────────────────
subAccountAuthType │ LDAP │ 统一身份认证使用 OpenLDAP 服务
ldapHost │ 192.168.0.100 │ OpenLDAP 服务 IP
ldapPort │ 389 │ OpenLDAP 服务端口,默认 389
ldapBase │ dc=clougence,dc=com │ Base DC,使用范例中 Base DN 配置
ldapUser │ cn=admin,dc=clougence,dc=com │ 连接 OpenLDAP 服务的账号
ldapPassword │ admin │ 连接 OpenLDAP 服务的密码
(可选) 高级参数选项说明
配置项 │ 修改后 │ 说明
────────────────────┼─────────────────────────────────┼──────────────────────────────────────
ldapSoTimeout │ 3000 │ 与 OpenLDAP 服务通信的超时时间,默认 30 秒
ldapRoleMap │ Admin=Manager;Users=Developers; │ OpenLDAP 用户所属组和 CloudDM Team 角色的映射关系
ldapUserObjectClass │ posixAccount,sambaSamAccount │ 代表账号的 OpenLDAP 实体 objectClass 类型
ldapFieldLogin │ cn │ OpenLDAP 实体的 cn 属性,通常表示用户登录
ldapFieldUser │ sn │ OpenLDAP 实体的 sn 属性,通常表示用户姓名
ldapFieldEmail │ mail │ OpenLDAP 实体的 mail 属性,表示用户的邮箱
ldapFieldPhone │ mobile │ OpenLDAP 实体的 mobile 属性,表示用户的手机号
- ldapRoleMap 参数
- ldapUserObjectClass 参数
- posixAccount,对应为 OpenLDAP 上的 Generic: User Account 实体。
- sambaSamAccount,对应为 OpenLDAP 上的 Samba: Account 实体。
信息
如果发现首次登录后角色映射发生不正确,可以主账号登录 CloudDM Team 帮助修改为正确角色即可。
Active Directory 域服务
- 在接入 Active Directory域服务 后登录 CloudDM Team 系统时账号的有效性验证将会由 Active Directory域服务 验证。
- 用户首次登录时会根据其 域账号归属的用户组 确定其 CloudDM Team 角色归属。具体参考高级选项参数 ldapRoleMap。
- 使用 Active Directory域认证后用户账号有效性及密码强度过期策略等将会全部交由 Active Directory域服务 管理。
例如存在如下 Active Directory 域服务
企业的域:clougence.com
域服务IP:192.168.0.100
域服务账号:administrator
域服务密码:admin
CloudDM Team 版开启 Active Directory域 认证步骤如下:
- 使用主账号登录 CloudDM Team 产品。
- 进入页面 系统设置 > 系统偏好 > 通用参数 选项卡。
- 参考如下表格修改配置项。最后点击右上角 保存 按钮后 确认 保存。
(必选) 需要修改的配置
配置项 │ 修改后 │ 说明
────────────────────┼─────────────────────────────────┼──────────────────────────────────────
subAccountAuthType │ AD │ 统一身份认证使用 Windows 域服务
ldapHost │ 192.168.0.100 │ Active Directory 域服务 IP
ldapPort │ 3268 │ Active Directory 域服务端口,默认 3268
ldapBase │ DC=clougence,DC=com │ Base DC
ldapUser │ administrator@clougence.com │ 连接 Active Directory 域服务的账号
ldapPassword │ admin │ 连接 Active Directory 域服务的密码
ldapNetBIOSRoute │ clougence=192.168.0.100 │ NetBIOS/IP 名称映射(Pre-Windows 2000 方式登录)
(可选) 高级参数选项说明
配置项 │ 修改后 │ 说明
────────────────────┼─────────────────────────────────┼──────────────────────────────────────
ldapSoTimeout │ 3000 │ 与域服务通信的超时时间,默认 30 秒
ldapRoleMap │ (详见参数说明) │ 域用户所属组和 CloudDM Team 角色的映射关系
ldapAdPrimaryGroup │ Domain Users │ Active Directory 域用户的主要组
- ldapRoleMap 参数
- ldapAdPrimaryGroup 参数
- 除非您强烈依赖这个服务,否则没有必要改变 Windows域用户的主要组。
- 因为域中的所有用户都是 域用户组(Domain Users) 的成员,因此域用户组被视为默认的域用户的主要组。
关于 Windows域用户的主要组补充说明:
- 当域用户有且只有一个用户组时,这个用户组必然为主要组。在此情况下 CloudDM Team 无法从域服务器上获得用户的主要组名称。
- 因此域用户的主要组在改变后当用户首次登录 CloudDM Team 时可能无法正常登录或正确映射用户角色。
- 如果出现提示:“账号所属组不支持” 请按照下面两个方法解决:
- 方法1:修改域用户的主要组为 Domain Users。
- 方法2:主账号在偏好配置中修改 ldapAdPrimaryGroup 配置添加新的用户组映射规则。
- 如果出现提示:“账号所属组不支持” 请按照下面两个方法解决:
信息
如果发现首次登录后角色映射发生不正确,可以主账号登录 CloudDM Team 帮助修改为正确角色即可。
恢复设置
在开启了 OpenLDAP 或 Active Directory域 认证服务后,若想恢复 内置账号 方式登录需要按照如下操作进行。
- 使用主账号登录 CloudDM Team 产品。
- 进入页面 系统设置 > 系统偏好 > 通用参数 选项卡。
- 参考如下表格修改配置项。最后点击右上角 保存 按钮后 确认 保存。
(必选) 需要修改的配置
配置项 │ 修改后 │ 说明
────────────────────┼─────────────────────────────────┼──────────────────────────────────────
subAccountAuthType │ PASSWORD │ 使用系统内置账号方式登录系统