Cấu hình đồng bộ LDAP
Parent page: Các chủ đề nâng cao
Để đơn giản hóa quá trình kết nối và truy cập mạng công ty, Enterprise Server hỗ trợ các dịch vụ thư mục thông qua giao diện trình duyệt của nó.
Điều này cung cấp khả năng đồng bộ người dùng miền dựa trên Lightweight Directory Access Protocol (LDAP), vốn truy vấn máy chủ LDAP trung tâm của mạng để lấy thông tin nhóm người dùng miền và quyền thành viên vai trò. Việc xác thực người dùng miền thông qua các dịch vụ thư mục đã được thiết lập theo cách này mang lại khả năng dùng một lần đăng nhập để truy cập tất cả các hệ thống trong công ty, bao gồm cả Enterprise Server.
Tính năng đồng bộ LDAP của Enterprise Server truy vấn các dịch vụ mạng trên cơ sở vai trò người dùng, trong đó thông tin thành viên vai trò được thu thập để cấp quyền truy cập người dùng Enterprise Server. Việc thăm dò thông tin thành viên miền thông qua dịch vụ LDAP (đồng bộ hóa) cho phép hệ thống phản hồi với thay đổi cấu hình người dùng miền trong một chu kỳ đồng bộ.
Đồng bộ LDAP
Đồng bộ LDAP cho phép quản trị viên của Workspace trên Enterprise Server tận dụng thông tin xác thực tên người dùng và mật khẩu hiện có của miền mạng, để không phải tạo thủ công thông tin xác thực người dùng từng người một trên trang Users trong giao diện trình duyệt của Workspace. Khi được thiết lập đúng cách, trang Users sẽ tự động được điền thông tin xác thực người dùng, cho phép bất kỳ người dùng nào được liệt kê truy cập Workspace bằng tên người dùng và mật khẩu mạng nội bộ thông thường của họ.
Bài viết này trình bày một cách tiếp cận đã được kiểm chứng và sử dụng thành công khi thiết lập Đồng bộ LDAP trên một miền. Hãy thử cách tiếp cận này khi thiết lập Đồng bộ LDAP trên miền của riêng bạn.
Tôi cần những gì?
- Quyền truy cập quản trị vào Workspace.
- Tùy chọn thêm, một tiện ích cực kỳ hữu ích là ứng dụng có tên LDAP Admin (tải LdapAdminExe-<version>.zip từ https://sourceforge.net/projects/ldapadmin/ )
Lấy chuỗi tìm kiếm LDAP (Distinguished Name)
Khi cấu hình một tác vụ Đồng bộ LDAP thông qua giao diện trình duyệt của Workspace, bạn cần cung cấp LDAP Distinguished Name (DN). Thông tin này được nhập dưới dạng chuỗi và xác định đối tượng cơ sở của tìm kiếm LDAP. Để lấy chuỗi này, chúng ta sẽ dùng tiện ích LDAP Admin, vì vậy trước hết hãy đảm bảo tệp zip đã được tải xuống và giải nén tệp thực thi LdapAdmin bên trong đó.
Tải xuống và giải nén tệp LdapAdmin.exe.
Chạy tệp thực thi LdapAdmin.exe với quyền Administrator (chỉ cần nhấp chuột phải vào nó và chọn Run as administrator).
Khi bảng LDAP Admin mở ra, chọn Start » Connect để truy cập hộp thoại Connections , sau đó nhấp đúp vào New connection để truy cập hộp thoại Connection properties.
Tạo kết nối mới trong tiện ích LDAP Admin.
Trên tab General của hộp thoại Connection properties, cấu hình thông tin kết nối theo miền của bạn, ví dụ có thể là:
- Connection name: chỉ là một tên tùy ý dùng cho biểu tượng kết nối.
- Host: testsite.com
- Port: 389
- Base: DC=testsite, DC=com
- Bật tùy chọn GSS-API.
- Account: chỉ cần để tùy chọn Use current user credentials được bật.
Ví dụ về một kết nối đã được cấu hình khi dùng LDAP chuẩn. Nếu dùng LDAPS (LDAP over SSL), đổi Port thành 636, và bật tùy chọn SSL.
Sau khi cấu hình xong các thuộc tính kết nối, nhấn nút Test connection. Nếu mọi thứ đều được thiết lập đúng, bạn sẽ thấy thông báo Connection is successful. Nhấp OK để hoàn tất tạo kết nối mới.
Bây giờ bạn cần xác định chuỗi trỏ tới đối tượng cơ sở của tìm kiếm LDAP. Để làm điều này:
- Chọn kết nối vừa tạo và nhấp OK trong hộp thoại Connections – miền mạng và hệ phân cấp nhóm người dùng của bạn sẽ được hiển thị.
- Mở rộng đường dẫn thư mục liên quan cho đến khi bạn đến thư mục chứa những người dùng cần thiết.
- Nhấp chuột phải vào thư mục này và chọn lệnh Search từ menu ngữ cảnh. Thao tác này sẽ mở bảng Search . Thông tin quan trọng bạn cần là chuỗi đã được điền sẵn trong trường Path . Đọc từ trái sang phải, chuỗi này biểu thị đường dẫn đến thư mục người dùng này theo hướng từ dưới lên trong cấu trúc miền. Trong ví dụ của chúng ta, giả sử có một thư mục chứa một số người dùng cụ thể – Engineers – là thư mục con của thư mục cha – Users. Trong trường hợp này, chuỗi của chúng ta là: OU=Engineers,OU=Users,DC=testsite,DC=com.
- Sao chép và dán chuỗi này vào một tệp văn bản để dùng tiếp trong quá trình cấu hình, hoặc tùy chọn là cứ để bảng Search mở sẵn.
Đến thời điểm này, tiện ích LDAP Admin không còn cần thiết cho các bước tiếp theo.
Cấu hình Workspace để dùng Đồng bộ LDAP
Bây giờ hãy đăng nhập vào Workspace đích – thông qua giao diện trình duyệt – với tư cách Administrator. Nếu bạn định tự động tạo thông tin xác thực người dùng từ LDAP, thì có lẽ bạn sẽ muốn xóa mọi người dùng thủ công hiện có. Vì vậy lý tưởng nhất là chỉ bắt đầu với người dùng quản trị mặc định – admin (trên trang Admin - Users của giao diện).
Ví dụ về Workspace đích, chỉ có người dùng quản trị mặc định, admin.
Nếu bạn muốn những người dùng từ Đồng bộ LDAP được gắn với một vai trò cụ thể, bạn có thể chuyển sang trang Roles và tạo một vai trò mới theo nhu cầu (ví dụ: Electrical Designers, Mechanical Designers, PCB Specialists, v.v…), để trống không có người dùng. Ví dụ ở đây sử dụng vai trò mặc định có sẵn trong dữ liệu mẫu được cài đặt, có tên là Engineers.
Bây giờ hãy chuyển sang trang LDAP Sync, và nhấp nút 
(hoặc liên kết Create a new one trong trường hợp này) để mở cửa sổ LDAP Sync Creation.
Thêm một tác vụ Đồng bộ LDAP mới thông qua giao diện trình duyệt của Workspace.
Điền các thông tin sau (dựa trên cấu trúc miền ví dụ đã dùng trong phần trước):
Chung
-
Target Role: Engineers
-
Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com
-
Url: LDAP://testsite.com:389
-
Scope: sub
-
Attributes: sAMAccountName
-
Filter: để trống trường này để lấy tất cả người dùng từ nhóm được chỉ định trên miền (được xác định trong trường DN ). Nếu khu vực được chỉ định trong cấu trúc miền có chứa thêm các nhóm người dùng khác, bạn có thể chỉ trích xuất một tập con người dùng bằng cách dùng chuỗi lọc phù hợp tại đây.
Ví dụ, giả sử có một nhóm người dùng dưới nhóm Kỹ sư, được tập hợp để có quyền quản trị (CN=Administrators). Để chỉ nhắm đến nhóm người dùng này, thay vì tất cả Kỹ sư (trong khu vực OU=Engineers của cấu trúc miền), có thể viết một chuỗi truy vấn nhắm đến điểm này trong cấu trúc miền:
(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))
Ánh xạ thuộc tính
- First Name: givenName
- Last Name: sn
- Email: mail
- User Name: sAMAccountName
- Overwrite existing users – khi được bật, Đồng bộ LDAP sẽ ghi đè những người dùng được tạo thủ công bằng những người dùng được trả về từ truy vấn đồng bộ, miễn là tên người dùng khớp hoàn toàn.
Xác thực
- User Name: domain\<your username> (ví dụ: testsite\jason.howie)
- Password: <your password>
- User authentication type: Windows
- Domain: testsite.com
Ví dụ về tác vụ Đồng bộ LDAP, được cấu hình với đầy đủ thông tin cần thiết khi dùng LDAP chuẩn. Nếu dùng LDAPS (LDAP over SSL), mục Url sẽ được đổi thành LDAPS://testsite.com:636.
Khi bạn đã hoàn tất việc nhập tất cả cài đặt, hãy nhấp 
. Thao tác này sẽ khởi chạy quá trình Đồng bộ, có thể mất một hoặc hai phút vì hệ thống phải xử lý thông tin bạn vừa nhập.
Bây giờ hãy truy cập trang Users . Danh sách này lúc này sẽ được điền với tất cả người dùng như được xác định bởi thiết lập OU=<GroupName> (xem hình ví dụ bên dưới). Giờ đây bất kỳ ai cũng có thể truy cập Workspace bằng đăng nhập Windows thông thường của họ.
Ví dụ về việc điền danh sách người dùng cho một Workspace thông qua sử dụng đồng bộ LDAP.
Bản địa hóa bằng AI