#原创分享#测试堡垒机与微软AD域对接认证

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与投稿，共计发放奖励100000+“

---

一、功能介绍

对接AD域，将AD域内用户导入到堡垒机内使用，实现堡垒机用户使用AD域用户密码认证，

二、测试背景

实施版本为3.0.8，实施中遇到问题，由于客户的特殊性，无法对正式环境截图，搭建测试环境测试功能。

三、配置步骤

1、配置AD域定时抽取

     1）登录系统管理员->[系统配置]->[AD域定时抽取]，配置连接/属性，点击立即发现。

      管理员在容器内：

      

      管理员在组织单位内：

      

      注意：

           1.文章的域控使用的应用发布服务器的域默认配置，正式环境的域控需要根据具体域控配置修改

           2.管理员用户默认在域控的users下，查看域控，users类型为容器（CN），管理员路径需要配置cn=administrator，CN=users。用户同管理员

              

           3.正式环境管理员用户可能会保存在组织单位（OU）内，管理员路径需要配置为cn=administrator,ou=sangfor。用户同管理员。

              

      点击发现用户：

        

   2）点击上方发现，导入域用户。

      

       点击向左移，会提示设置初始密码

         

         切换安全管理用账号，查看用户：【运维管理】->【用户】，此时用户为本地用户。

         

2、启用AD域认证

     1）登录系统管理员，在【策略配置】->【认证强度】,添加AD域认证，配置AD域。

      

3、修改AD域抽取的用户绑定域账号

     1）登录安全管理员，修改用户认证方式为AD域认证，并绑定域账号。

         

4、测试登录效果

     1）登录认证方式选择AD域认证，输入AD域用户sangfor以及密码，点击登录。

         

         

四、注意事项：

     1、虽然sangfor用户绑定给了test02，登录后依然会是以登录名为主，在本地查询用户名，以本地用户sangfor上线，正式环境实施确保用户与绑定用户一致。

     2、用户导入到本地后，逐个修改过于麻烦且效率低，可以将用户导出表格，批量修改认证方式和绑定用户，再将用户导入到堡垒机

         

最后提个建议吧，AD域对接如果能改成SSLVPN那种的会比较好，用户无需进行绑定的方式，直接进行域认证。