AD域控制器配置
此文档为AD域控制服务的配置文档, 主要是介绍如何配置AD域服务以及用户属性的配置以确保Fastone平台能够正确地获取到用户属性, 以下为配置步骤
注意事项
- 请确保AD服务器的389端口网络连通
- 在fastone平台中无法修改AD中的用户的密码
- 确保创建用户时没有勾选(用户下次登录时须更改密码),否则会导致在登录fastone平台时,直接使用此密码,无法成功登录
- AD里组名和用户名不能同名
为了用户名和用户所属主组名保持相同,在新建用户的时候,可以使用户登录名和姓名不一样,并且所有组放在一个ou里面,所有用户放置在一个ou里面
效果图:
AD域控制器配置
登录将要作为AD服务器的Windows Server, 打开服务器管理, 并安装相应功能
安装完成后确保服务器为域控制器
条目配置
提示
请确保AD认证系统中的用户以及用户组包含(rfc2307)规范中提及的相关属性.
满足此规范后AD中的用户及用户组将能够被正确地映射到Linux系统中.
有关于`RFC2307的详细信息, 请参考rfc2307
对于用户组, 需要确保包含以下属性条目
- objectClass: posixGroup
此值为固定配置 - gidNumber
linux中组的gid, 按照约定, 从1000开始, 例如: 1500 - cn
linux中组名, 例如: mawu - memberUid
linux中组的成员, 用于声明此组中包含哪些用户, 例如: mawu
对于用户, 需要确保包含以下属性条目
- objectClass: posixAccount
此值为固定配置 - objectClass: shadowAccount
此值为固定配置 - cn
linux中用户的用户名, 例如: mawu - uid
linux中用户的用户名, 例如: mawu - uidNumber
linux中用户的uidNumber, 按照约定, 从1000开始, 例如: 1500 - homeDirectory
用户家目录 路径唯一,可以以xxx为前缀,后面加上用户名, 例如: /fastone/users/mawu - gidNumber
linux中用户的主组的gid, 例如: 1500 - loginshell
用户的默认登录shell, 例如:/bin/csh
用户组
打开Active Directory控制程序
添加组(在ou里面右键新建->组)
查看->勾选高级功能
选中组条目点击属性编辑器
RFC2307相关属性配置参考
将某个用户加入到附属组,在组的memberUid属性中添加对应的用户uid即可
用户
请确保用户的登录名和RFC2307属性规范中的uid属性配置值一致, 以获得在windows和linux中一致的用户名体验
右键 新增用户,因为windows AD用户名和组名不可以重复,而ldap里的用户名和组名是重复的,所以登录名需要修改成唯一的字符串
设置密码
右键属性->属性编辑器
RFC2307相关属性配置参考
