你在这里: Web用户界面 > 使用接口 > 安全 > 活动目录 > 创建Active Directory服务器连接

创建Active Directory服务器连接

活动目录页面,点击.将打开“创建新服务器连接”页面。完成下面的字段,然后单击好吧

完成后,继续从Active Directory连接添加用户和角色

创建新的服务器连接

的名字

为连接提供一个名称。

宿主

Active Directory服务器的主机名。

注意:如果身份验证方法(下图)SASL,宿主是IP地址,必须同时指定领域

关闭获取主机名

广告资源管理器

  1. 选择文件>连接…,click OK, leaving all values blank.
  2. 如果AD Explorer成功连接到Active Directory,主机名将打印在方括号中。

从域计算机:

  1. 通过开始菜单打开命令提示符(cmd.exe)。
  2. 类型gpresult / r显示当前用户的策略信息。
  3. Active Directory服务器出现在“从何处应用组策略”下。

港口

用于与Active Directory服务器通信的端口。大多数常见的Windows域配置使用端口389或636。

域搜索用户

一个窗户服务帐户用于将活动目录用户和组导入FME服务器。该帐户需要对域控制器具有读访问权限。

以下列任何一种格式指定帐户:

格式

语法

例子
NT登录 域\用户名 MYCOMPANY \ User1
用户主体名称 username@domain.net User1@MYCOMPANY.INTERNAL
专有名称 CN =…,OU =…,DC =… CN=User One,OU=Service Accounts,OU=My Company,DC= Company,DC= internal
关闭获取服务帐户名称
  1. 广告资源管理器,连接到Active Directory。
  2. 浏览并选择代表帐户的条目。
  3. 服务帐户名出现在sAMAccountName'属性下。

域搜索密码

Active Directory帐户的密码。

同步启用

勾选此项时,FME Server中的用户和组之间的关系将以指定的时间间隔与Active Directory进行同步。例如,考虑User_1,它属于FME Server中的Group_1,因为Active Directory中存在相应的关系。如果在Active Directory中,User_1和Group_1之间的关系随后被破坏,那么在FME Server中,User_1和Group_1之间的关系将在下一次同步间隔之后被破坏。

  • 同步时间间隔
  • 请指定所需的同步频率。

    • 身份验证

    加密方法

    使用Active Directory进行身份验证时使用的加密方法。

    身份验证方法

    指定Active Directory的身份验证方法:

    • 基本:未启用SASL认证。
    • SASL:使简单的身份验证和安全级别(SASL)。
      • SASL机制
        • GSSAPI: Kerberos V5身份验证
        • GSS-SPNEGO:简单和受保护的GSSAPI协商机制
        • 外部: Context-implicit认证
        • DIGEST-MD5: MD5消息摘要
      • 使用单点登录:如果选中,则允许从该连接导入的用户使用其Windows凭证自动连接到FME服务器。

        • 注意:要使用单点登录,您还必须更新您的Windows域和web浏览器配置。有关更多信息,请参见配置Windows一体化认证

        • 单点登录用户名: Windows的名称服务帐户要配置为单点登录,格式为用户名(不指定DOMAIN)。
          • 关闭获取服务帐户名称
          1. 广告资源管理器,连接到Active Directory。
          2. 浏览并选择代表帐户的条目。
          3. 服务帐户名出现在sAMAccountName'属性下。
        • SSO的密码: Windows服务帐号密码。
      • 密钥分发中心(可选)SASL机制GSSAPI,指定Kerberos密钥分发中心(KDC)的主机名或IP地址。如果未指定,则假定KDC位于与Active Directory域控制器相同的服务器上。
      • 领域:如果SASL机制GSSAPIDIGEST-MD5,指定身份验证领域用于Kerberos V5或MD5消息摘要身份验证。就活动目录而言,身份验证领域就是域名。以完全限定域名(FQDN)形式指定域名的大写版本。例如,FQDN为domain.net,则使用domain.net。如果未指定,则假定身份验证领域是活动目录的域名域控制器

        • 注意:如果宿主是IP地址,必须指定领域

        关闭获取完全限定域名(FQDN):

        从域计算机:

        1. 通过开始菜单打开命令提示符(cmd.exe)。
        2. 做以下任何一种:
          1. 类型回声% USERDNSDOMAIN %显示USERDNSDOMAIN环境变量。
          2. FQDN将打印出来。

          3. 或者:

          1. 类型网络配置工作站显示计算机的网络设置。
          2. FQDN出现在“工作站域名DNS名称”字段下。

        从域控制器:

        1. 从“开始”菜单中打开“Active Directory Domains and Trusts”。
        2. 在控制台树(左列)中,Windows域的列表由它们的FQDNs列出。

    先进的

    搜索基地

    (可选)指定连接可访问的Active Directory节(子树)的可分辨名称。任何未指定的部分是不可访问的。如果未指定,则可访问整个目录。

    关闭获取专有名称
    1. 广告资源管理器,连接到Active Directory。
    2. 浏览该目录以确定要提供对FME Server访问的所有用户和安全组的位置。
    3. 选择一个要用作命名上下文的条目。
    4. 可识别的名称出现在'distinguished name '属性下。

    用户名属性

    (可选)用于从该连接导入的FME Server用户名的Active Directory属性。如果未指定,则使用sAMAccountName属性。

    完整的名称属性

    (可选)Active Directory属性用于从该连接导入的FME Server用户的全名。如果未指定,则使用displayName属性。

    组属性

    (可选)用于从该连接导入的FME Server角色名称的Active Directory组属性。如果未指定,则使用sAMAccountName属性。

    电子邮件属性

    (可选)用于从此连接导入的FME Server用户的电子邮件地址的Active Directory属性。如果未指定,则使用邮件属性。

    接下来是什么?

    继续从Active Directory连接添加用户和角色