创建Active Directory服务器连接
在这一点活动目录页面,点击新的.将打开“创建新服务器连接”页面。完成下面的字段,然后单击好吧.
完成后,继续从Active Directory连接添加用户和角色.
创建新的服务器连接
姓名
提供连接的名称。
宿主
Active Directory Server的主机名。
笔记:如果验证类型(下图)Sasl., 和宿主是IP地址,必须同时指定领域.
获取主机名
从广告资源管理器:
- 选择文件> Connect ...,然后单击“确定”,将所有值留空。
- 如果AD Explorer成功连接到Active Directory,则主机名显示在方括号中。
来自域计算机:
- 通过开始菜单打开命令提示符(cmd.exe)。
- 类型Gpresult / R.显示当前用户的策略信息。
- Active Directory Server会出现在“从”策略“中”应用程序“下。
港口
用于与Active Directory服务器通信的端口。大多数常见的Windows域配置使用端口389或636。
连接加密
使用Active Directory进行身份验证时使用的加密方法。
- 没有任何:没有加密
- ssl / starttls.:结束与Active Directory的通信安全套接字层(SSL).如果指定了StartTLS,则使用该启动与Active Directory的SSL / TLS通信Starttls.命令。
笔记:使用证书颁发机构(CA)证书进行SSL身份验证,请参阅导入到Active Directory的SSL连接CA证书.
搜索帐户名称
一个窗户服务帐户用于将活动目录用户和组导入FME服务器。该帐户需要对域控制器具有读访问权限。
以以下任何格式指定帐户:
格式 |
句法 |
例子 |
|---|---|---|
| nt登录 | Domain \ UserName. | MYCOMPANY \ User1 |
| 用户主体名称 | username@domain.net. | user1@mycompany.internal. |
| 专有名称 | cn = ...,ou = ...,dc = ... | CN=User One,OU=Service Accounts,OU=My Company,DC= Company,DC= internal |
搜索帐户密码
Active Directory帐户的密码。
验证
验证类型:
指定Active Directory的身份验证方法:
- 基本:未启用SASL身份验证。
- Sasl.:使简单的身份验证和安全级别(SASL)。
- SASL机制:
- GSSAPI.:Kerberos V5身份验证
- GSS-SPNEGO:简单且受保护的GSSAPI谈判机制
- 外部:背景隐式身份验证
- DIGEST-MD5.:MD5消息摘要
- SASL机制:
启用单点登录
如果选中,请允许使用此连接导入的用户以自动连接到具有其Windows凭据的FME服务器。
笔记:要使用单点登录,还必须更新Windows域和Web浏览器配置。有关更多信息,请参阅配置Windows一体化认证.
- 服务帐户名称:Windows的名称服务帐户以格式配置单点登录用户名(不指定域)。
- 服务帐户密码:Windows服务帐户密码。
可选字段
启用同步
选中时,连接将按指定的时间间隔与活动目录同步。同步的信息包括:
- 用户和组之间的关系。例如,由于Active Directory中的相应关系,请考虑属于FME服务器中的Group_1的User_1。如果该关系随后在Active Directory中损坏,则在下一个同步间隔后,User_1和Group_1之间的关系将在FME服务器中断。同样,如果Active Directory用户更改组,则该更改将在FME服务器中同步。
- 名称在Active Directory中更改为用户帐户。
笔记:发生同步时,FME服务器可确保任何Active Directory名称更改不会破坏用户与FME服务器的连接。但是,FME服务器不会更新用户的登录名(用户名)或显示名称(全名)。
笔记:如果未勾选“启用同步”,则创建连接后,仍可手动同步连接。有关更多信息,请参阅在Active Directory连接上执行其他任务.
- 同步时间间隔:请指定所需的同步频率。
KDC主人
如果SASL机制是GSSAPI.,指定Kerberos密钥分发中心(KDC)的主机名或IP地址。如果未指定,则假定KDC位于与Active Directory域控制器相同的服务器上。
领域
如果SASL机制是GSSAPI.或DIGEST-MD5.,指定身份验证领域对于Kerberos V5或MD5消息摘要认证。在Active Directory方面,身份验证Realm是域名。在其完全限定的域名(FQDN)表单中指定域名的大写版本。例如,如果fqdn是domain.net,请使用domain.net。如果未指定,则假定身份验证领域是Active Directory的域名域控制器.
笔记:如果宿主是一个IP地址,您必须指定一个领域.
搜索基础
指定连接可访问的Active Directory的部分(子树)的可分辨名称。未指定的任何部分都无法访问。如果未指定,则可以访问整个目录。
获取专有名称
- 从广告资源管理器,连接到Active Directory。
- 浏览目录以确定要提供对FME服务器的访问权限的所有用户和安全组的位置。
- 选择要用作命名上下文的条目。
- 可分辨名称出现在“diveltisedname”属性下。
备用服务器
允许FME服务器使用备用访问活动目录宿主和港口组合。此设置可能在这些情况中有用:
- 可以从多个冗余服务器访问Active Directory。FME服务器使用这些服务器以旋转方式访问Active Directory,该方法将负载分配给它们。
- 如果一个Active Directory Server无法访问,FME服务器连接到一个或多个备用服务器。
添加A.宿主和港口组合,点击+。删除A.宿主和港口组合,点击-.
帐户名称属性
用于从此连接导入的FME服务器用户的名称的Active Directory属性。如果未指定,则使用SAMAccountName属性。
完整的名称属性
用于从此连接导入的FME服务器用户的全名的Active Directory属性。如果未指定,则使用displayName属性。
组名称属性
Active Directory组属性用于从此连接导入的FME服务器角色的名称。如果未指定,则使用SAMAccountName属性。
电子邮件属性
Active Directory属性用于从此连接导入的FME服务器用户的电子邮件地址。如果未指定,则使用邮件属性。