Cấu hình đồng bộ LDAP
Parent page: Các chủ đề nâng cao
Để đơn giản hóa quá trình kết nối và truy cập mạng công ty, Enterprise Server hỗ trợ các dịch vụ thư mục thông qua giao diện trình duyệt của nó.
Điều này cung cấp khả năng đồng bộ người dùng miền dựa trên Lightweight Directory Access Protocol (LDAP), truy vấn máy chủ LDAP trung tâm của mạng để lấy thông tin về nhóm người dùng miền và vai trò thành viên. Việc xác thực người dùng miền thông qua các dịch vụ thư mục đã được thiết lập theo cách này mang lại khả năng đăng nhập một lần để truy cập tất cả các hệ thống của công ty, bao gồm cả Enterprise Server.
Chức năng đồng bộ LDAP của Enterprise Server truy vấn các dịch vụ mạng dựa trên vai trò người dùng, trong đó thông tin thành viên vai trò được thu thập để cấp quyền truy cập người dùng Enterprise Server. Việc thăm dò thành viên miền thông qua dịch vụ LDAP (đồng bộ hóa) cho phép hệ thống phản hồi với thay đổi cấu hình người dùng miền trong một chu kỳ đồng bộ.
Đồng bộ LDAP
LDAP Sync cho phép quản trị viên của một Workspace trên Enterprise Server tận dụng tên người dùng và mật khẩu hiện có của miền mạng, nhờ đó không cần phải tạo thủ công thông tin xác thực người dùng từng người một trên trang Users của giao diện trình duyệt Workspace. Khi được thiết lập đúng cách, trang Users sẽ tự động điền thông tin xác thực người dùng, cho phép bất kỳ người dùng nào được liệt kê truy cập Workspace bằng tên người dùng và mật khẩu mạng doanh nghiệp thông thường của họ.
Bài viết này trình bày một phương pháp đã được kiểm chứng và sử dụng thành công khi thiết lập LDAP Sync trên miền. Hãy thử phương pháp này khi thiết lập LDAP Sync trên chính miền của bạn.
Tôi cần gì?
- Quyền truy cập quản trị vào Workspace.
- Tùy chọn thêm, một tiện ích cực kỳ hữu ích là ứng dụng có tên LDAP Admin (tải LdapAdminExe-<version>.zip từ https://sourceforge.net/projects/ldapadmin/ )
Lấy chuỗi tìm kiếm LDAP (Distinguished Name)
Khi cấu hình một tác vụ LDAP Sync thông qua giao diện trình duyệt của Workspace, bạn cần cung cấp LDAP Distinguished Name (DN). Giá trị này được nhập dưới dạng chuỗi và xác định đối tượng cơ sở của tìm kiếm LDAP. Để lấy chuỗi này, chúng ta sẽ dùng tiện ích LDAP Admin, vì vậy trước tiên hãy bảo đảm tệp zip đã được tải xuống và giải nén tệp thực thi LdapAdmin bên trong.
Tải xuống và giải nén tệp LdapAdmin.exe.
Chạy tệp thực thi LdapAdmin.exe với quyền Administrator (chỉ cần nhấp chuột phải vào nó và chọn Run as administrator).
Khi bảng LDAP Admin mở ra, chọn Start » Connect để truy cập hộp thoại Connections , sau đó nhấp đúp New connection để truy cập hộp thoại Connection properties.
Tạo một kết nối mới trong tiện ích LDAP Admin.
Trên tab General của hộp thoại Connection properties, cấu hình thông tin kết nối liên quan đến miền của bạn, ví dụ có thể là:
- Connection name: chỉ là một tên bất kỳ để dùng cho biểu tượng kết nối.
- Host: testsite.com
- Port: 389
- Base: DC=testsite, DC=com
- Bật tùy chọn GSS-API.
- Account: chỉ cần giữ tùy chọn Use current user credentials được bật.
Một ví dụ về kết nối đã cấu hình khi dùng LDAP tiêu chuẩn. Nếu dùng LDAPS (LDAP over SSL), hãy đổi Port thành 636, và bật tùy chọn SSL.
Khi các thuộc tính kết nối đã được cấu hình, nhấn nút Test connection. Nếu mọi thứ được thiết lập đúng, bạn sẽ thấy thông báo Connection is successful. Nhấp OK để hoàn tất việc tạo kết nối mới.
Bây giờ bạn cần xác định chuỗi nhắm đến đối tượng cơ sở của tìm kiếm LDAP. Để làm điều này:
- Chọn kết nối mới tạo của bạn và nhấp OK trong hộp thoại Connections – miền mạng và hệ phân cấp nhóm người dùng của bạn sẽ được hiển thị.
- Mở rộng đường dẫn thư mục liên quan cho đến khi bạn đến thư mục chứa các người dùng cần thiết.
- Nhấp chuột phải vào thư mục này và chọn lệnh Search từ menu ngữ cảnh. Thao tác này sẽ mở bảng Search . Thông tin quan trọng bạn cần là chuỗi đã được điền sẵn trong trường Path . Đọc từ trái sang phải, chuỗi này biểu diễn đường dẫn đến thư mục người dùng này theo hướng từ dưới lên trong cấu trúc miền. Trong ví dụ của chúng ta, giả sử có một thư mục chứa những người dùng cụ thể – Engineers – là thư mục con của thư mục cha – Users. Trong trường hợp này, chuỗi của chúng ta là: OU=Engineers,OU=Users,DC=testsite,DC=com.
- Sao chép và dán chuỗi này vào một tệp văn bản để dùng ở bước cấu hình tiếp theo, hoặc tùy chọn có thể просто để bảng Search luôn mở.
Tại thời điểm này, tiện ích LDAP Admin không còn cần thiết cho bất kỳ bước nào tiếp theo.
Cấu hình Workspace để dùng LDAP Sync
Bây giờ hãy đăng nhập vào Workspace đích – thông qua giao diện trình duyệt – với tư cách Administrator. Nếu bạn định tạo tự động thông tin xác thực người dùng từ LDAP, thì có thể bạn sẽ muốn xóa mọi người dùng đã được tạo thủ công trước đó. Vì vậy, lý tưởng nhất là chỉ bắt đầu với người dùng quản trị mặc định – admin (trên trang Admin - Users của giao diện).
Một ví dụ Workspace đích chỉ với người dùng quản trị mặc định, admin.
Nếu bạn muốn những người dùng từ LDAP Sync được gắn với một vai trò cụ thể, bạn có thể chuyển sang trang Roles và tạo vai trò mới theo nhu cầu (ví dụ Electrical Designers, Mechanical Designers, PCB Specialists, v.v…), để trống không có người dùng. Ví dụ ở đây dùng vai trò mặc định nằm trong dữ liệu mẫu đã cài đặt, có tên là Engineers.
Bây giờ chuyển sang trang LDAP Sync, và nhấp nút 
(hoặc liên kết Create a new one trong trường hợp này) để mở cửa sổ LDAP Sync Creation.
Thêm một tác vụ LDAP Sync mới thông qua giao diện trình duyệt của Workspace.
Điền các thông tin sau (dựa trên cấu trúc miền ví dụ đã dùng ở phần trước):
Chung
-
Target Role: Engineers
-
Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com
-
Url: LDAP://testsite.com:389
-
Scope: sub
-
Attributes: sAMAccountName
-
Filter: để trống trường này để lấy tất cả người dùng từ nhóm được chỉ định trên miền (trong trường DN ). Nếu vùng được chỉ định trong cấu trúc miền có chứa thêm các nhóm người dùng khác, bạn có thể chỉ trích xuất một tập con người dùng đó bằng cách sử dụng một chuỗi lọc phù hợp tại đây.
Ví dụ, giả sử có một nhóm người dùng thuộc nhóm Engineers, được tập hợp để có quyền quản trị (CN=Administrators). Để chỉ nhắm đến nhóm người dùng này, thay vì toàn bộ Engineers (trong vùng OU=Engineers của cấu trúc miền), có thể viết một chuỗi truy vấn nhắm đến vị trí này trong cấu trúc miền:
(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))
Ánh xạ thuộc tính
- First Name: givenName
- Last Name: sn
- Email: mail
- User Name: sAMAccountName
- Overwrite existing users – khi được bật, LDAP Sync sẽ ghi đè các người dùng được tạo thủ công bằng những người dùng trả về từ truy vấn đồng bộ, miễn là tên của họ khớp hoàn toàn.
Xác thực
- User Name: domain\<your username> (ví dụ testsite\jason.howie)
- Password: <your password>
- User authentication type: Windows
- Domain: testsite.com
Ví dụ về tác vụ LDAP Sync, được cấu hình với đầy đủ thông tin cần thiết khi dùng LDAP tiêu chuẩn. Nếu dùng LDAPS (LDAP over SSL), mục Url sẽ được đổi thành LDAPS://testsite.com:636.
Khi bạn đã hoàn tất nhập tất cả các thiết lập, nhấp 
. Thao tác này sẽ khởi động quá trình Sync, có thể mất một hoặc hai phút vì hệ thống cần xử lý thông tin bạn vừa nhập.
Bây giờ truy cập trang Users . Danh sách này giờ sẽ được điền đầy đủ với tất cả người dùng như được xác định bởi thiết lập OU=<GroupName> (xem hình minh họa bên dưới). Lúc này, bất kỳ ai cũng có thể truy cập Workspace bằng thông tin đăng nhập Windows thông thường của họ.
Ví dụ về việc điền danh sách người dùng cho một Workspace thông qua sử dụng đồng bộ LDAP.
Bản địa hóa bằng AI