创建Active Directory服务器连接
- 在活动目录页面,点击添加.将打开“创建新服务器连接”页面。完整的字段:
- 选择文件>连接…,click OK, leaving all values blank.
- 如果AD Explorer成功连接到Active Directory,主机名将打印在方括号中。
- 通过开始菜单打开命令提示符(cmd.exe)。
- 类型gpresult / r显示当前用户的策略信息。
- Active Directory服务器出现在“从何处应用组策略”下。
- 从广告资源管理器,连接到Active Directory。
- 浏览该目录以确定要提供对FME Server访问的所有用户和安全组的位置。
- 选择一个要用作命名上下文的条目。
- 可识别的名称出现在'distinguished name '属性下。
- 同步时间间隔:指定同步频率。
- 没有一个:没有加密
- SSL / StartTLS:结束与Active Directory的通信安全套接字层(SSL).如果指定StartTLS,则启动与Active Directory的SSL/TLS通信STARTTLS命令。
- 基本:未启用SASL认证。
- SASL:使简单的身份验证和安全级别(SASL)。
- SASL机制:
- GSSAPI: Kerberos V5身份验证
- GSS-SPNEGO:简单和受保护的GSSAPI协商机制
- 外部: Context-implicit认证
- DIGEST-MD5: MD5消息摘要
- 使用单点登录:如果选中,则允许从该连接导入的用户使用其Windows凭证自动连接到FME服务器。
- 单点登录用户名: Windows的名称服务帐户配置为单点登录。
- SSO的密码: Windows服务帐号密码。
- 密钥分发中心(可选)SASL机制是GSSAPI,指定Kerberos密钥分发中心(KDC)的主机名或IP地址。如果未指定,则假定KDC位于与Active Directory域控制器相同的服务器上。
- 领域:如果SASL机制是GSSAPI或DIGEST-MD5,指定身份验证领域用于Kerberos V5或MD5消息摘要身份验证。就活动目录而言,身份验证领域就是域名。以完全限定域名(FQDN)形式指定域名的大写版本。例如,FQDN为domain.net,则使用domain.net。如果未指定,则假定身份验证领域是活动目录的域名域控制器.
- 通过开始菜单打开命令提示符(cmd.exe)。
- 做以下任何一种:
- 类型回声% USERDNSDOMAIN %显示USERDNSDOMAIN环境变量。
- FQDN将打印出来。
- 类型网络配置工作站显示计算机的网络设置。
- FQDN出现在“工作站域名DNS名称”字段下。
- 从“开始”菜单中打开“Active Directory Domains and Trusts”。
- 在控制台树(左列)中,Windows域的列表由它们的FQDNs列出。
注意:要使用单点登录,您还必须更新您的Windows域和web浏览器配置。有关更多信息,请参见配置Windows一体化认证.
注意:如果宿主是IP地址,必须指定领域.
获取完全限定域名(FQDN):从域计算机:
或者:
从域控制器:
- SASL机制:
- 当完成时,单击好吧.
的名字:提供连接的名称。
宿主: Active Directory服务器的主机名。
注意:如果身份验证方法(下图)SASL,宿主是IP地址,必须同时指定领域.
从广告资源管理器:
从域计算机:
港口:与Active Directory服务器通信的端口。大多数常见的Windows域配置使用端口389或636。
域搜索用户: Active Directory帐户的可分辨名称。
域搜索密码: Active Directory帐户的密码。
搜索基地:(可选)指定连接可访问的Active Directory部分(子树)的可分辨名称。任何未指定的部分是不可访问的。如果未指定,则可访问整个目录。
同步启用:选中后,FME Server中的用户和组之间的关系将以指定的时间间隔与Active Directory进行同步。例如,考虑User_1,它属于FME Server中的Group_1,因为Active Directory中存在相应的关系。如果在Active Directory中,User_1和Group_1之间的关系随后被破坏,那么在FME Server中,User_1和Group_1之间的关系将在下一次同步间隔之后被破坏。
加密方法:使用Active Directory进行身份验证时使用的加密方法。
注意:要使用证书颁发机构(CA)证书进行SSL身份验证,请参见导入到Active Directory的SSL连接CA证书.
身份验证方法:指定对Active Directory进行身份验证的方法:
用户名属性:(可选)Active Directory属性,用于从该连接导入的FME Server用户的名称。如果未指定,则使用sAMAccountName属性。
完整的名称属性:(可选)Active Directory属性,用于从该连接导入的FME Server用户的全名。如果未指定,则使用displayName属性。
组属性:(可选)Active Directory组属性,用于从该连接导入的FME Server角色的名称。如果未指定,则使用sAMAccountName属性。
电子邮件属性:(可选)Active Directory属性,用于从此连接导入的FME Server用户的电子邮件地址。如果未指定,则使用邮件属性。