从活动目录导入用户

PAM360支持集成您环境中的活动目录，并允许从那里导入用户。此外，拥有域账户且使用域帐户登录到Windows系统的用户，系统可以配置域单点登录使其直接登录到PAM360。

配置活动目录集成

从活动目录导入用户参考以下步骤：

导入用户
指定用户角色
启用 AD 身份验证
启用单点登录

首先，导航到管理 >> 验证 >> 活动目录，页面将显示"活动目录配置"。

步骤 1- 导入用户

第一步是提供凭据详细信息，然后从活动目录导入用户。 PAM360可以从其所在服务器的“Microsoft Windows Network”文件夹下获得网络内的域列表信息。您可以从列表中选择所需配置的域，并提供必要的域控制器凭据。

请参考以下操作步骤：

单击"立即导入"按钮。您也可以从用户 >> 添加用户 >> 从AD中导入进行操作。

在弹出窗口中，从下拉列表中选择所需的域名。
指定域控制器的DNS名称，此域控是主域控。
如果主域控停止工作，辅域控会被使用。如果您有辅域控，请用逗号分隔形式指定其DNS名称。如果您正在使用SSL模式，请确保输入的DNS名称与SSL证书中的CN（通用名称）相匹配。
提供凭据：在域控制器中输入具有读取权限的有效用户凭据（用户名和密码）。（如果您需要从多个域导入用户，请按照“域名\用户名”的格式输入。例如，您要导入域A中的用户，那么输入的用户名应该为“域名A\用户名”）。
连接模式：您可以为每个域配置是否通过加密进行通信。若启用SSL进行加密连接，请确保域控已经开启了SSL端口636，而且必须将域控的根证书导入到安装了PAM360的计算机中。
导入用户：默认情况下，PAM360会导入AD中的所有用户组/OU下的用户。如果您只想导入用户，请输入用户名，多个用户请以逗号分隔。
导入用户组 /OU：同样，您可以选择从域中导入某个用户组或组织单位（OU）。
同步时间间隔：每当新用户被添加到活动目录时，PAM360可以自动同步。请在这里输入同步时间间隔，最小间隔为一分钟，也可以设置以小时、天为单位的时间间隔。
单击"保存"。PAM360会马上保存域信息并开始添加域中的用户，下次导入时，只会将新加入域的用户导入到PAM360中。
在导入组织单位（OU）和AD组的情况下，将自动使用相应的OU /AD组的名称创建用户组。

注意：如上所述，要启用SSL模式，域控制器应该以SSL模式，通过636端口提供服务。如果域控制器的证书没有经过认证的CA 签名，则必须手动将证书导入PAM360服务器主机的证书库。您需要导入根证书链中的所有证书——即PAM360服务器机器的证书和中间证书(如果有的话)。

要将域控制器的证书导入PAM360所在机器的证书库：您可以使用常用的方式导入SSL证书。如下所示：

在安装PAM360的机器上，打开IE浏览器，点击工具 >> Internet 选项 >> 内容 >> 证书。
点击“导入”。
浏览并找到您的CA根证书。
点击“下一步”并选择“根据证书类型自动选择证书库”选项并安装。
再次点击“导入”。
浏览并找到域控制器证书。
点击“下一步”并选择“根据证书类型自动选择证书库”并安装。
应用更改并关闭向导即可。
按照这个步骤安装其他在根链中证书。

步骤 2- 指定用户角色

默认情况下，从 AD 导入的所有用户都会被分配为密码用户角色。要给用户指派其它角色，请按照以下步骤进行操作：

点击"立即分配角色"按钮。

在弹出窗口中，列出了从AD导入的所有用户。
点击您想要更改角色的用户的更改角色按钮，从下拉列表中选择相应的角色。
点击保存，完成角色指派操作。

步骤 3- 启用AD认证

第三步是启用AD身份验证。这将允许活动目录用户使用其AD域密码登录到PAM360，注意这仅适用已导入PAM360的AD用户。

步骤 4- 启用单点登录

如果启用此选项，使用域帐户登录到Windows系统的用户无需在PAM360上再次登录。启用此选项之前，需要先启用AD身份验证，并已将相应的域用户导入PAM360。

对于单点登录， PAM360使用第三方Java软件库，为活动目录和Java应用程序提供高级集成。此外，NTLM安全服务提供商为该程序提供了NETLOGON服务来验证凭证。

为此，您需要创建一个计算机账户并设置密码，该账户将作为服务账户连接到AD域控制器上的NETLOGON服务。

也就是说，PAM360需要域控制器中的一个计算机帐户来执行认证（计算机帐户必须可用/可创建 - 普通用户帐户无效）。

启用单点登录，请按照以下步骤操作：

单击启用单点登录按钮。

在打开的页面选择“域名”。
在"全限定域名"字段输入全限定的DNS域名（例如 zohocorpin.com）
输入计算机帐户名和密码。
如果您想要创建新的计算机账户，请选择"在域中创建此计算机帐户"。第三方软件包已提供创建计算机帐户和密码的脚本。
点击保存。

注意：默认情况下,IE浏览器支持NTLM身份验证，下面介绍在Firefox应该如何设置：

打开Firefox浏览器并在URL输入"about:config"，回车。
这时你会看到一个设置列表。
在搜索栏输入"ntlm",找到"network.automatic-ntlm-auth.trusted-uris",双击该选项并输入PAM360服务器地址。（ https://<PAM360服务器主机名>:<端口 >）
接下来，找到"network.ntlm.send-lm-response"。
双击将默认设置从"false"改为"true"。

在MSP版本中，一次只能为一个客户组织启用单点登录，可由MSP管理员启用/禁用此功能。

故障排除提示

如果计算机帐户凭证不正确，浏览器将持续在登录页上弹出要求域用户凭据的窗口。点击取消，打开页PAM360登录页，在登录页上输入相关凭证进行登录。


从活动目录导入用户 PAM360支持集成您环境中的活动目录，并允许从那里导入用户。此外，拥有域账户且使用域帐户登录到Windows系统的用户，系统可以配置域单点登录使其直接登录到PAM360。配置活动目录集成从活动目录导入用户参考以下步骤：导入用户指定用户角色启用 AD 身份验证启用单点登录首先，导航到管理 >> 验证 >> 活动目录，页面将显示"活动目录配置"。步骤 1- 导入用户第一步是提供凭据详细信息，然后从活动目录导入用户。 PAM360可以从其所在服务器的“Microsoft Windows Network”文件夹下获得网络内的域列表信息。您可以从列表中选择所需配置的域，并提供必要的域控制器凭据。请参考以下操作步骤：单击"立即导入"按钮。您也可以从用户 >> 添加用户 >> 从AD中导入进行操作。在弹出窗口中，从下拉列表中选择所需的域名。指定域控制器的DNS名称，此域控是主域控。如果主域控停止工作，辅域控会被使用。如果您有辅域控，请用逗号分隔形式指定其DNS名称。如果您正在使用SSL模式，请确保输入的DNS名称与SSL证书中的CN（通用名称）相匹配。提供凭据：在域控制器中输入具有读取权限的有效用户凭据（用户名和密码）。（如果您需要从多个域导入用户，请按照“域名\用户名”的格式输入。例如，您要导入域A中的用户，那么输入的用户名应该为“域名A\用户名”）。连接模式：您可以为每个域配置是否通过加密进行通信。若启用SSL进行加密连接，请确保域控已经开启了SSL端口636，而且必须将域控的根证书导入到安装了PAM360的计算机中。导入用户：默认情况下，PAM360会导入AD中的所有用户组/OU下的用户。如果您只想导入用户，请输入用户名，多个用户请以逗号分隔。导入用户组 /OU：同样，您可以选择从域中导入某个用户组或组织单位（OU）。同步时间间隔：每当新用户被添加到活动目录时，PAM360可以自动同步。请在这里输入同步时间间隔，最小间隔为一分钟，也可以设置以小时、天为单位的时间间隔。单击"保存"。PAM360会马上保存域信息并开始添加域中的用户，下次导入时，只会将新加入域的用户导入到PAM360中。在导入组织单位（OU）和AD组的情况下，将自动使用相应的OU /AD组的名称创建用户组。注意：如上所述，要启用SSL模式，域控制器应该以SSL模式，通过636端口提供服务。如果域控制器的证书没有经过认证的CA 签名，则必须手动将证书导入PAM360服务器主机的证书库。您需要导入根证书链中的所有证书——即PAM360服务器机器的证书和中间证书(如果有的话)。要将域控制器的证书导入PAM360所在机器的证书库：您可以使用常用的方式导入SSL证书。如下所示：在安装PAM360的机器上，打开IE浏览器，点击工具 >> Internet 选项 >> 内容 >> 证书。点击“导入”。浏览并找到您的CA根证书。点击“下一步”并选择“根据证书类型自动选择证书库”选项并安装。再次点击“导入”。浏览并找到域控制器证书。点击“下一步”并选择“根据证书类型自动选择证书库”并安装。应用更改并关闭向导即可。按照这个步骤安装其他在根链中证书。步骤 2- 指定用户角色默认情况下，从 AD 导入的所有用户都会被分配为密码用户角色。要给用户指派其它角色，请按照以下步骤进行操作：点击"立即分配角色"按钮。在弹出窗口中，列出了从AD导入的所有用户。点击您想要更改角色的用户的更改角色按钮，从下拉列表中选择相应的角色。点击保存，完成角色指派操作。步骤 3- 启用AD认证第三步是启用AD身份验证。这将允许活动目录用户使用其AD域密码登录到PAM360，注意这仅适用已导入PAM360的AD用户。步骤 4- 启用单点登录如果启用此选项，使用域帐户登录到Windows系统的用户无需在PAM360上再次登录。启用此选项之前，需要先启用AD身份验证，并已将相应的域用户导入PAM360。对于单点登录， PAM360使用第三方Java软件库，为活动目录和Java应用程序提供高级集成。此外，NTLM安全服务提供商为该程序提供了NETLOGON服务来验证凭证。为此，您需要创建一个计算机账户并设置密码，该账户将作为服务账户连接到AD域控制器上的NETLOGON服务。也就是说，PAM360需要域控制器中的一个计算机帐户来执行认证（计算机帐户必须可用/可创建 - 普通用户帐户无效）。启用单点登录，请按照以下步骤操作：单击启用单点登录按钮。在打开的页面选择“域名”。在"全限定域名"字段输入全限定的DNS域名（例如 zohocorpin.com）输入计算机帐户名和密码。如果您想要创建新的计算机账户，请选择"在域中创建此计算机帐户"。第三方软件包已提供创建计算机帐户和密码的脚本。点击保存。注意：默认情况下,IE浏览器支持NTLM身份验证，下面介绍在Firefox应该如何设置：打开Firefox浏览器并在URL输入"about:config"，回车。这时你会看到一个设置列表。在搜索栏输入"ntlm",找到"network.automatic-ntlm-auth.trusted-uris",双击该选项并输入PAM360服务器地址。（ https://<PAM360服务器主机名>:<端口 >）接下来，找到"network.ntlm.send-lm-response"。双击将默认设置从"false"改为"true"。在MSP版本中，一次只能为一个客户组织启用单点登录，可由MSP管理员启用/禁用此功能。故障排除提示如果计算机帐户凭证不正确，浏览器将持续在登录页上弹出要求域用户凭据的窗口。点击取消，打开页PAM360登录页，在登录页上输入相关凭证进行登录。
© 2021， ZOHO 公司，保留所有权利。