创建活动目录服务器连接
- 在活动目录页面,点击添加。创建新服务器连接页面打开。完整的字段:
- 选择文件>连接…, click OK, leaving all values blank.
- 如果AD Explorer成功连接到Active Directory,主机名将打印在方括号中。
- 通过开始菜单打开命令提示符(cmd.exe)。
- 类型gpresult / r显示当前用户的策略信息。
- Active Directory服务器出现在“Group Policy was applied from”下。
- 同步时间间隔:指定所需的同步频率。
- 没有一个:没有加密
- SSL / StartTLS:与Active Directory的通信结束安全套接字层(SSL)。如果指定了StartTLS,则使用STARTTLS命令。
- 基本:未启用SASL身份验证。
- SASL:使简单的认证和安全级别(SASL)。
- SASL机制:
- GSSAPI: Kerberos V5身份验证
- GSS-SPNEGO:简单且受保护的GSSAPI协商机制
- 外部:Context-implicit认证
- DIGEST-MD5: MD5消息摘要
- 使用单点登录:如果勾选此项,则允许从该连接导入的用户使用其Windows凭据自动连接到FME服务器。
- 单点登录用户名:窗户的名称服务帐户以格式配置为单点登录用户名(不要指定域)。
- SSO的密码: Windows服务帐户密码。
- 密钥分发中心(可选)SASL机制是GSSAPI,指定Kerberos密钥分发中心(KDC)的主机名或IP地址。如果没有指定,则假定KDC与Active Directory域控制器位于同一服务器上。
- 领域:如果SASL机制是GSSAPI或DIGEST-MD5,指定身份验证领域用于Kerberos V5或MD5消息摘要身份验证。对于Active Directory,身份验证领域是域名。在完全限定域名(FQDN)表单中指定域名的大写版本。例如,如果FQDN是domain.net,则使用domain.net。如果没有指定,则假定身份验证域是Active Directory的域名域控制器。
- 通过开始菜单打开命令提示符(cmd.exe)。
- 执行下列任何一项:
- 类型回声% USERDNSDOMAIN %显示USERDNSDOMAIN环境变量。
- 将打印FQDN。
- 类型网络配置工作站显示计算机的网络设置。
- FQDN出现在“工作站域DNS名称”字段下。
- 从“开始”菜单中打开“活动目录域和信任”。
- 在控制台树(左侧列)中,Windows域的列表由它们的FQDNs列出。
注意:要使用单点登录,还必须更新Windows域和web浏览器配置。有关更多信息,请参见配置集成的Windows身份验证。
注意:如果主机是一个IP地址,你必须指定一个领域。
获取全限定域名(FQDN):从域计算机:
或者:
从域控制器:
- SASL机制:
- 当完成时,单击好吧。
的名字:为连接提供一个名称。
主机:活动目录服务器的主机名。
注意:如果身份验证方法(下图)SASL,主机是IP地址,还必须指定a吗领域。
从广告资源管理器:
从域计算机:
港口:用于与Active Directory服务器通信的端口。大多数常见的Windows域配置使用端口389或636。
域搜索用户:活动目录帐户的专有名称,在格式中域\用户名。
域搜索密码:活动目录帐户的密码。
搜索基地:(可选)指定连接可访问的Active Directory节(子树)的专有名称。没有指定的部分是不可访问的。如果未指定,则可访问整个目录。
同步启用:在选中时,FME服务器中的用户和组之间的关系将在指定的时间间隔内与Active Directory同步。例如,考虑User_1,它属于FME服务器中的Group_1,因为在Active Directory中存在对应关系。如果该关系随后在Active Directory中被破坏,那么在下一个同步间隔之后,User_1和Group_1之间的关系将在FME服务器中被破坏。
加密方法:使用Active Directory进行身份验证时使用的加密方法。
注意:要使用证书颁发机构(CA)证书进行SSL身份验证,请参阅将用于SSL连接的CA证书导入Active Directory。
身份验证方法:指定与Active Directory认证的方法:
用户名属性:(可选)用于从该连接导入的FME服务器用户名的Active Directory属性。如果没有指定,则使用sAMAccountName属性。
完整的名称属性:(可选)用于从该连接导入的FME服务器用户的全名的Active Directory属性。如果未指定,则使用displayName属性。
组属性:(可选)Active Directory group属性,用于从该连接导入的FME服务器角色的名称。如果没有指定,则使用sAMAccountName属性。
电子邮件属性(可选)用于从该连接导入的FME服务器用户的电子邮件地址的Active Directory属性。如果未指定,则使用mail属性。