使用 LDAP 配置用户定义

要配置 OnCommand Insight (OCI) 通过 LDAP 服务器进行用户身份验证和授权,必须在 LDAP 服务器中将您定义为 OnCommand Insight 服务器管理员。

关于本任务

OnCommand Insight 可通过 Microsoft Active Directory 服务器支持 LDAP 和 LDAPS。其他 LDAP 实施方式可能也有效,但尚未经过 Insight 的认证。此过程假定您正在使用 Microsoft Active Directory 版本 2 或 3 LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)。

LDAP 用户与本地定义的用户一起显示在“Users”列表中。

步骤

  1. Insight 工具栏上,单击 “Admin” 。
  2. 单击 “Setup” 。
  3. 单击 “Users” 选项卡。
  4. 滚动到页面底部以显示 LDAP 设置,如下所示。

    LDAP 设置起始页面
  5. 单击 “Enable LDAP” 以启用 LDAP 用户身份验证和授权。
  6. 在以下字段中,为授权使用目录查找查询的用户输入凭据:
    • LDAP servers。(要为此字段导入 Insight 证书,请单击 “Certificates” 。)
    • User name
    • Password(要在 LDAP 服务器上确认此密码,请单击 “Validate” 。)
    注:用于标识 LDAP 服务器的 IP 地址或 DNS 名称,通常按以下格式输入:
    ldap:// <ldap-server-address>:port

    或使用默认端口:

     ldap://<ldap-server-address>
    Insight 支持以英文逗号分隔的 LDAP URL 列表。Insight 将尝试连接到提供的 URL,而不验证 LDAP 协议。
  7. 如果要更加精确地定义此 LDAP 用户,请单击 “Show more” 并为其中的属性输入信息。
    默认设置对于 Active Directory 有效。
    Admins group
    用于确定用户拥有管理员权限的“Role”属性的值(默认为 sanscreen.admin)。
    Users group
    用于确定用户拥有用户权限的“Role”属性的值(默认为 sanscreen.users)。
    Guests group
    用于确定用户拥有来宾权限的“Role”属性的值(默认为 sanscreen.guests)。
    Server admins group
    用于确定用户拥有服务器管理员权限的“Role”属性的值(默认为 sanscreen.server.admin)。
    Timeout
    在超时之前等待 LDAP 服务器发出响应的时间(以毫秒为单位,默认为 2,000,该值可适用于所有情况,无需修改)。
    Domain
    OnCommand Insight 应该开始寻找 LDAP 用户的 LDAP 节点(通常是组织的顶级域)。例如:
    DC=<enterprise>,DC=com
    User principal name 属性
    用于标识 LDAP 服务器中各个用户的属性(默认为 userPrincipalName,全局唯一)。OnCommand Insight 尝试将此属性的内容与已提供的用户名进行匹配。
    Role 属性
    用于标识用户角色的 LDAP 属性(默认为 memberOf)。
    Mail 属性
    用于标识用户电子邮件地址的 LDAP 属性(默认为“mail”)。如果您想订阅 OnCommand Insight 中提供的 OnCommand Insight 报告,这很有用。OnCommand Insight 在每个用户首次登录时获取用户电子邮件地址,之后不会查找该地址。
    注:如果 LDAP 服务器上的电子邮件地址发生更改,请确保在 OnCommand Insight 中手动更改该地址。
    Distinguished name 属性
    用于标识用户可分辨名称的 LDAP 属性(默认为 distinguishedName)。
  8. 单击 “Save” 。