AD 身份验证

身份与访问管理是任何组织实现网络与数据安全的重要组成部分。它帮助您确保策略合规、进行密码管理,并作为管理用户访问控制的手段。

OpManager 中的 AD 身份验证功能正是为此而设计。它允许您在 OpManager 内对用户进行身份验证,而无需使用外部第三方身份管理工具。您可以为用户授予 / 撤销访问权限和安全限制,并为在组织内访问 OpManager 提供基于角色的访问控制。

如果您拥有一个 Windows 域,则可以让 Active Directory 的密码策略为您所用。用户可以使用其域登录名和密码登录 OpManager。这将大大降低他人使用您的密码访问 OpManager Web 界面的风险,从而不仅提升安全性,还让用户登录/创建账户更加轻松。您可以为用户定义范围(AD 组、远程办公室或所有用户),从而基于其角色限制访问。

随着软件application数量的增加,而每个软件都有各自的身份验证方式和密码复杂度要求,此功能还能帮您省去记忆过多密码的麻烦。

如何添加 AD 域?

如何配置 AD 自动登录设置?

如何编辑域设置?

添加 AD 域

您可以在 OpManager 中创建域,并结合 AD 身份验证和用户管理功能,在 OpManager 中手动创建用户。

添加域的方法:

  1. 进入 SettingsGeneral SettingsAuthenticationAD AuthenticationAdd Domain

    2. 在 OpManager 中添加域:AD 身份验证

  2. 在相应字段中输入 Domain Name(域名)Domain Controller name(域控制器名称)

    3. 在 OpManager 中添加域:域详细信息

  3. 自版本 125111 起支持 LDAPS,以确保与域控制器的安全通信。只需点击 “Import Certificate” 按钮并选择您的域控制器证书,即可将其添加到 OpManager

    4. 要了解如何从域控制器导出证书,请参考以下文章:

  4. Auto Login* 默认处于禁用状态。
  5. 保存设置。
  6. 域添加完成后,您可以在 Users 选项卡中手动添加用户

配置自动登录

自动登录功能允许您将所有/单个用户或选定的 AD 组添加到任意域中,并为其分配用户权限。

  1. 在要配置的域的 Actions 下选择 Add/Edit

    2. 在 OpManager 中配置自动登录:可配置的域

  2. 选中 Enable Auto Login 复选框。
    启用自动登录后,点击 Next 为所选域中的用户配置范围。该范围将自动分配给首次登录的用户。如果未启用 Auto-login,则必须手动添加用户。


    3.  

  3. 配置自动登录的方法

    • 针对所有用户
      若要为所有用户启用 Auto-login,请在 Users 下选择 All Users。该域下登录的所有用户都将启用自动登录。
    • 针对选定的 AD 组 
      若要为选定的 AD 组启用 Auto-login,请在 Users 下选择 Selected groups,并以逗号分隔的形式输入 AD 组名称。系统将为您指定的 AD 组启用自动登录。
    • OpManager 会在您输入的 BaseDN 下搜索用户是否存在。在 BaseDN 字段中输入包含该组用户的顶级 OU 的容器路径。该路径不应指向该组的 DN(路径)。
    • 例如:
      • 假设需要配置两个组,“AdGroup1”“AdGroup2”,其用户分布在多个 OU 中:
      • CN=user1,OU=Admins,OU=TestOU,DC=local,DC=com
      • CN=user2,OU=Operators,OU=TestOU,DC=local,DC=com
      • CN=user3,OU=Guests,OU=Users,OU=TestOU,DC=local,DC=com

    在 OpManager 中配置自动登录:组配置

    • 您应在 BaseDN 字段中输入 “OU=TestOU, DC=local, DC=com”(它们层级结构中的公共路径)。该路径中至少要包含一个 OU/CN,并且在域设置中配置的组名区分大小写。
    • 获取用户 baseDN(容器路径)的示例查询:

    在 OpManager 中配置自动登录:BaseDN 示例查询

    • 如果您域中的所有用户都无法进行 LDAP 访问,可以通过“Use custom credentials for LDAP bind”(为 LDAP 绑定使用自定义凭据)选项配置自定义凭据。这些凭据将用于执行 LDAP 查询。

    在 OpManager 中配置自动登录:使用自定义凭据进行配置

    • 在“Bind User Name”下输入具有在该域中执行 LDAP 查询所需权限的 Active Directory 用户账号,并在“Bind Password”中输入相应密码。
    • 以上述示例而言,配置详情应如下图所示:

    在 OpManager 中配置自动登录:域配置详情

    4. 注意:

    • 多个 AD 组名可以用逗号分隔的形式填写。若要添加具有不同范围的新组,可使用“+”图标。


    在 OpManager 中配置自动登录:添加多个 AD 组
     

    • 所提供的凭据必须具有 LDAP 查询权限以及读取 “memberOf” 属性的权限。
  4. 启用 Auto-login 后,为该域选择 UsersUser Permissions,必要时编辑 Time zone,然后点击 Next。在自动登录过程中,可以为 AD 用户分配所选模块和范围。
  5. 要配置 Scope
    Modules - 您可以选择希望用户具备访问权限的附加模块。Monitor - 您可以为该用户提供对 All Devices(所有设备)的访问权限,或仅提供对 Selected Business Views(选定业务视图)的访问权限。如果选择 All Devices,用户将能够访问 OpManager 模块中的所有设备。如果选择 Selected Business Views,则可以通过 “Select All” 选项为其开放所有业务视图,也可以通过 Untitled 选项开放未命名的业务视图。
  6. 保存设置。

编辑域设置

创建域并分配用户后,您可以随时根据需要编辑配置。您可以添加或删除 AD 用户/组、编辑用户权限以及编辑范围设置。

添加 AD 组的方法:

点击目标域旁的 “Plus” 图标,为该域添加新的 AD 组。

编辑时区的方法:

在要编辑的域的 Actions 下选择 Edit,根据需要更改时区,然后点击 “Save”

编辑/删除 AD 组的方法:

  1. 点击域名称旁的箭头,以显示其下的所有 AD 组。
  2. 点击要编辑的组旁的 “Edit” 图标,为该域选择 UsersUser Permissions,然后点击 Next
  3. 若要编辑域中的某个特定用户/组,请在要编辑的域的 Actions 下选择 Edit
  4. 可以通过选择 Read Only(Operator User,操作员用户)、Full Control(Administrator User,管理员用户)或选择具有特定访问级别的自定义用户角色,来编辑 AD 组的 User Permissions。 

    5. 在 OpManager 中编辑域设置:编辑用户权限

  5. 要配置 Scope
     

    • Modules - 您可以选择希望用户具备访问权限的附加模块。
    • Monitor - 您可以为该用户提供对 All Devices(所有设备)的访问权限,或仅提供对 Selected Business Views(选定业务视图)的访问权限。如果选择 All Devices,用户将能够访问 NetFlow、NCM 和 Firewall 的所有设备。如果选择 Selected Business Views,则可以通过 Select All 选项为其开放所有业务视图,也可以通过 Untitled 选项开放未命名的业务视图。

    在 OpManager 中编辑域设置:范围配置

  6. 保存设置。
  7. 要删除组,只需点击其旁边的 “Delete” 图标。
    针对 AD 身份验证,我们支持网络中通过 LDAP 查询访问域控制器的本地(on-premise)AD。

如需进一步了解 OpManager 的身份验证方式,请参考以下帮助文档:

感谢您的反馈!

此内容对您有帮助吗?

很抱歉给您带来不便。请帮助我们改进此页面。

我们该如何改进此页面?
您是否需要有关此主题的协助?
点击“提交”,即表示您同意根据隐私政策处理个人数据。