配置AD或LDAP认证

堡垒机支持配置多个AD服务器。如需将AD服务器多个域的用户或多条Base DN下的用户同步至堡垒机，首先您需要配置多个AD认证服务器，然后再把各服务器中的用户导入至堡垒机，并在完成资产授权之后，目标用户即可通过堡垒机运维资产。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。

在堡垒机实例列表，定位到目标实例，单击管理。

在左侧导航栏，单击系统设置。

在AD认证页签，单击添加认证服务器。

在添加认证服务器面板，参考下表配置AD认证服务器，单击测试连接。

配置项

说明

AD认证服务器名称

可以通过设置不同AD认证服务器的名称加以区分。

设为默认服务器

勾选后，新建完成的认证服务器将替换原来的默认服务器成为新的默认服务器。

API目前仅支持修改默认服务器配置。企业双擎版最多支持10个AD认证服务器。基础版最多支持1个AD认证服务器。

服务器地址

认证服务器的连接地址。

备用服务器地址

可选。备用服务器的连接地址，没有备用服务器请留空。

端口

服务器的端口。

SSL

如果AD认证服务器上安装了SSL证书，需要勾选此项。

Base DN

服务器中设置的用户目录节点。

用户量过大时导入将会耗时较长，建议在服务器中设置此Base DN下的用户总数在10万以内再进行导入。

域

要导入堡垒机中的用户所在域。

账户

认证服务器的账号。

密码

认证服务器的密码。

过滤器

查询服务器上用户时定制查询结果的条件。

自动同步用户快照间隔时间

自动将认证服务器中用户列表同步到本地快照的时间。

同步姓名

填写远程服务器上表示用户姓名的属性名，例如fullName，留空将采用默认值cn进行同步。取消勾选将不同步该属性。

登录堡垒机时按照用户名进行校验，不按照姓名校验，默认同步远程服务器上的sAMAccountName属性值作为登录名。

同步邮箱

填写远程服务器上表示用户邮箱的属性名。例如mail，留空将采用默认值mail进行同步。取消勾选将不同步该属性。

同步手机号

填写远程服务器上表示用户手机号码的属性名，例如mobile，留空将采用默认值mobile进行同步。取消勾选将不同步该属性。

将用户所在组织同步为用户组

开启时，每个添加到堡垒机上的AD用户，其所属的组织自动同步为堡垒机上的用户组，并将该用户自动关联到该用户组中。

堡垒机最多支持500个用户组，超出此数量限制的用户组不会同步创建。

首次同步后，服务器上组织的增、删、改不会继续同步到堡垒机上。

连接成功后，单击保存。

如果您需要自动同步AD用户快照，请单击立即同步用户快照，或者设置自动同步用户快照间隔时间定时将认证服务器中用户列表同步到本地快照。在导入AD用户时，将从本地快照中读取用户数据，降低导入AD用户操作性能消耗。