创建Active Directory服务器连接
在活动目录页面,点击新.将打开“创建新服务器连接”页面。完成下面的字段,然后单击好吧.
完成后,继续从Active Directory连接添加用户和角色.
创建新的服务器连接
的名字
为连接提供一个名称。
宿主
Active Directory服务器的主机名。
注意:如果身份验证方法(下图)SASL,宿主是IP地址,必须同时指定领域.
从广告资源管理器:
- 选择文件>连接…,click OK, leaving all values blank.
- 如果AD Explorer成功连接到Active Directory,主机名将打印在方括号中。
从域计算机:
- 通过开始菜单打开命令提示符(cmd.exe)。
- 类型gpresult / r显示当前用户的策略信息。
- Active Directory服务器出现在“从何处应用组策略”下。
港口
用于与Active Directory服务器通信的端口。大多数常见的Windows域配置使用端口389或636。
域搜索用户
一个窗户服务帐户用于将活动目录用户和组导入FME服务器。该帐户需要对域控制器具有读访问权限。
以下列任何一种格式指定帐户:
格式 |
语法 |
例子 |
---|---|---|
NT登录 | 域\用户名 | MYCOMPANY \ User1 |
用户主体名称 | username@domain.net | User1@MYCOMPANY.INTERNAL |
专有名称 | CN =…,OU =…,DC =… | CN=User One,OU=Service Accounts,OU=My Company,DC= Company,DC= internal |
域搜索密码
Active Directory帐户的密码。
同步启用
勾选此项时,FME Server中的用户和组之间的关系将以指定的时间间隔与Active Directory进行同步。例如,考虑User_1,它属于FME Server中的Group_1,因为Active Directory中存在相应的关系。如果在Active Directory中,User_1和Group_1之间的关系随后被破坏,那么在FME Server中,User_1和Group_1之间的关系将在下一次同步间隔之后被破坏。
身份验证
加密方法
使用Active Directory进行身份验证时使用的加密方法。
- 没有一个:没有加密
- SSL / StartTLS:结束与Active Directory的通信安全套接字层(SSL).如果指定StartTLS,则启动与Active Directory的SSL/TLS通信STARTTLS命令。
注意:要使用证书颁发机构(CA)证书进行SSL身份验证,请参见导入到Active Directory的SSL连接CA证书.
身份验证方法:
指定Active Directory的身份验证方法:
- 基本:未启用SASL认证。
- SASL:使简单的身份验证和安全级别(SASL)。
- SASL机制:
- GSSAPI: Kerberos V5身份验证
- GSS-SPNEGO:简单和受保护的GSSAPI协商机制
- 外部: Context-implicit认证
- DIGEST-MD5: MD5消息摘要
- 使用单点登录:如果选中,则允许从该连接导入的用户使用其Windows凭证自动连接到FME服务器。
- 单点登录用户名: Windows的名称服务帐户要配置为单点登录,格式为用户名(不指定DOMAIN)。
- SSO的密码: Windows服务帐号密码。
- 密钥分发中心(可选)SASL机制是GSSAPI,指定Kerberos密钥分发中心(KDC)的主机名或IP地址。如果未指定,则假定KDC位于与Active Directory域控制器相同的服务器上。
- 领域:如果SASL机制是GSSAPI或DIGEST-MD5,指定身份验证领域用于Kerberos V5或MD5消息摘要身份验证。就活动目录而言,身份验证领域就是域名。以完全限定域名(FQDN)形式指定域名的大写版本。例如,FQDN为domain.net,则使用domain.net。如果未指定,则假定身份验证领域是活动目录的域名域控制器.
- 通过开始菜单打开命令提示符(cmd.exe)。
- 做以下任何一种:
- 类型回声% USERDNSDOMAIN %显示USERDNSDOMAIN环境变量。
- FQDN将打印出来。
- 类型网络配置工作站显示计算机的网络设置。
- FQDN出现在“工作站域名DNS名称”字段下。
- 从“开始”菜单中打开“Active Directory Domains and Trusts”。
- 在控制台树(左列)中,Windows域的列表由它们的FQDNs列出。
注意:要使用单点登录,您还必须更新您的Windows域和web浏览器配置。有关更多信息,请参见配置Windows一体化认证.
注意:如果宿主是IP地址,必须指定领域.
获取完全限定域名(FQDN):从域计算机:
或者:
从域控制器:
- SASL机制:
先进的
搜索基地
(可选)指定连接可访问的Active Directory节(子树)的可分辨名称。任何未指定的部分是不可访问的。如果未指定,则可访问整个目录。
- 从广告资源管理器,连接到Active Directory。
- 浏览该目录以确定要提供对FME Server访问的所有用户和安全组的位置。
- 选择一个要用作命名上下文的条目。
- 可识别的名称出现在'distinguished name '属性下。
用户名属性
(可选)用于从该连接导入的FME Server用户名的Active Directory属性。如果未指定,则使用sAMAccountName属性。
完整的名称属性
(可选)Active Directory属性用于从该连接导入的FME Server用户的全名。如果未指定,则使用displayName属性。
组属性
(可选)用于从该连接导入的FME Server角色名称的Active Directory组属性。如果未指定,则使用sAMAccountName属性。
电子邮件属性
(可选)用于从此连接导入的FME Server用户的电子邮件地址的Active Directory属性。如果未指定,则使用邮件属性。