SANGFOR_aDesk_V4.9_LDAP认证测试指导

第1章  功能简介

LDAP：轻量级目录访问协议。

用户使用VDI接入时，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给VDC，同时用户登录VDI成功。

第2章  应用场景

1.     使用LDAP认证可以有效的减少管理员的工作量，管理员无需在LDAP和设备上维护两套认证体系，只需要在LDAP服务器上维护一套账号即可。

2.     独享桌面自动加入AD域，需要设置LDAP 认证。

3.     新建共享桌面资源可以使用LDAP认证。

第3章  必要条件说明

1.     一台序列号在有效期的，服务正常的VDC；

2.      一台LDAP服务器。

第4章  配置思路

1.     设置好LDAP服务器，在服务器上新建用户用于登录VDI；

2.     登录VDC，在VDC-[VDI设置]-[认证设置]-[LDAP认证]，设置LDAP服务器；

3.     将用户导入后，可以给用户关联独享桌面等资源；

4.     使用域上的用户名/密码通过VDI登录。

第5章  配置方式及截图

本文档中LDAP服务器上创建的用户是：ldaptest1

5.1   新建LDAP认证服务器

WEBUI界面：[VDI设置]-[认证设置]-[LDAP认证]。

新建LDAP认证服务器，并填写相关信息。

[服务器名称]和[服务器描述]：可填写便于记忆的文字；

[服务器地址]：用于设置LDAP服务器的IP地址和所使用的端口，此处可设置多个服务器地址和端口，他们之间是主备关系，第一个服务器为主服务器，其余都为备服务器，当第一个服务器连不上，才尝试连接第二个服务器认证，以此类推。LDAP认证常用端口：TCP 389；

[管理员全路径（DN）] 和[管理员密码]：填写LDAP服务器内一个有效的账号和密码，用于读取LDAP结构。所填写的帐号一般要以域中DN的形式填写。

[搜索入口]：用于选择需要用于认证的LDAP用户账号所在路径。点击右侧箭头选择目标组。

【注意】：管理员全路径(DN)和管理员密码需要填写正常，来保证搜索入口能读取LDAP结构。

【注意】：当没有设置组映射关系时，自动匹配为某个组的用户

5.2   组映射和角色映射功能介绍及配置

组映射：

针对没有导入到本地的服务器的用户，用于设置将LDAP服务器中的OU和VDC网关本地的用户组绑定起来，那么该OU中的用户登录VDI之后就会拥有本地被绑定用户组的权限

角色映射：

用于将LDAP 服务器中的安全组映射到VDC 网关本地的角色，那么当域中隶属于该安全组的用户通过VDI认证之后自动匹配到该角色，获得该角色中绑定资源的访问权限。

  

点击“自动生产角色映射关系”，出现以下配置界面：

   

勾选外部安全组，点击确定，则在本地『角色授权』中自动新建同名的角色并映射。

此时LDAP认证服务器设置成功。

5.3   LDAP导入用户到本地

LDAP导入用户到本地：实现将LDAP服务器中的用户以及组织结构导入到SSL VPN组织结构中，可分别为不同的用户或者用户组关联策略组和角色。

功能需求： LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组。

    WEIBUI界面：[VDI设置]-[认证设置]-[LDAP认证]，选择对应的LDAP服务器-[导入用户到本地]；

[选择导入用户]-选择需要导入到本地的OU组，可选择需要导入的用户组。

->单独导入：仅导入选中的用户组用户；

-> 递归导入：导入选中的用户组和这个组下所有的子组用户。

[选择导入到本地目标组]-可以选择选中的LDAP服务器中的用户和用户组，导入到VDC设备本地的哪个目标组。

[自动导入设置]可以“启用自动导入”，开启自动导入，每个一段时间自动将LDAP服务器中的用户导入到VDC设备中，用于LDAP服务器中用户变更频繁的场景。

点击[保存]，可完成LDAP导入用户到本地的配置。

5.4   使用域上的用户名/密码登录

打开VDI CLIENT的登录界面，使用域账号密码可以登录VDI。

第6章  注意事项

1.设置LDAP认证服务器时，管理员账户需要是LDAP服务器内一个有效账号。该账号在LDAP服务器必须有读取用户路径的权限。

2.系统支持普通的LDAP协议和支持微软的MS Active Directory协议。