Windows AD配置指南:从安装到与Authing的双向同步
Windows AD配置指南:从安装到与Authing的双向同步
本文将详细介绍如何在Windows Server中配置Windows AD(Active Directory),以及如何在Authing控制台中配置Windows AD身份源。通过本文,你将了解Windows AD的安装、配置、连接测试等多个步骤,并掌握如何实现Windows AD与Authing之间的用户目录双向同步。
场景介绍
- 概述:Windows AD是Microsoft提供的本地化用户目录管理服务。在Authing中配置并开启Windows AD服务商应用扫码的企业登录,即可实现通过Authing快速获取Windows AD基本开放的信息和帮助用户实现免密登录功能。
- 应用场景:企业PC免登场景
- 终端用户预览图:
注意事项
- 使用Windows AD你需要Windows服务器;
- 服务器安装了Active Directory;
- 运行Authing AD Connector的机器上,能够连通Active Directory;
- 一个具有Active Directory的读取权限的用户账密。
- 如果你未开通Authing控制台账号,请先前往Authing Console控制台注册开发者账号。
第一步:Windows AD在Windows Server下的安装
1. 安装AD域服务
- 打开Windows Server中的服务管理器
- 选择添加角色和功能
- 选择安装类型
- 服务器选择
- 选择服务器角色
- 选择功能
- 确认
- AD LDS
- 安装中
- 安装成功
2. 安装AD LDS
AD LDS并不是必须要安装的,你也可以选择不进行安装,直接进行配置AD域服务的安装,此处只是提供安装过程,以及需要注意的点。
- 运行安装向导
- 安装向导
- 创建AD LDS实例
- 设置实例名字
- 设置默认端口
如果该默认端口与AD默认端口出现冲突,将导致AD域服务的先决条件检查失败 - 创建应用程序目录分区
- 选择存储位置
- 选择账户关联
- 分配管理权限
- 倒入对应的LDIF
- 安装确认
- 安装中
- 安装完成
3. 配置AD域服务
- 在服务管理器上,将此服务提升为域控制器
- 部署配置
- 域控制器选项
- DNS选型
- 其他选项
- 路径
- 查看选项
- 先决条件检查
- 执行安装即可
4. 检查Active Directory服务连接
此处使用ldp进行连接测试,无需输入更多ldap连接相关信息即可获取响应结果,你也可以使用一些客户端(如Apache Ldap Studio等)来完成连接测试。当然AD管理中心可以打开也意味着当前你的连接测试是没有问题的。
- Win + r打开CMD执行窗口,键入ldp
- 选择连接,打开一个连接
- 通过ldap连接Active Directory
- 选择ldap协议,进行测试
- 查看连接测试结果
- ldaps协议的开启,需要安装并配置Active Directory证书服务,而现在并没有进行相关安装及配置,连接结果应该是失败的。
- 选择ldaps协议,进行测试
- 查看连接测试结果
5. 安装AD CS
- 依旧是打开服务器管理器
- 选择添加角色和功能
- 选择安装类型
- 进行服务器选择
- 增加对应的服务器角色
- 选择添加功能
- 选择对应的功能
- AD CS
- 选择对应的角色服务
- 确认安装
- 安装中
- 安装完成
6. 配置AD CS
- 进入配置目标服务器AD CS的界面
- 指定凭据
- 选择角色服务
- 指定CA的设置类型
- 指定CA的类型
- 配置私钥
- 指定加密选项
- 指定CA名称
- 指定CA有效期
- 指定CA数据库
- 确认当前选项
- 查看配置结果
7. 测试ldaps连接Active Directory
- Win + r打开CMD执行窗口,键入ldp
- 选择连接,打开一个连接
- 打开测试应用
- 查看测试结果
8. AD相关策略的修改与测试
- 打开AD管理中心
- 通过AD管理中心新增一个用户
- 增加一个用户
- 查看新增结果
- 打开AD策略修改器
- 编辑AD策略
- 进入计算机配置
- 进入策略
- 进入windows设置
- 进入安全设置
- 进入账户策略
- 进入密码策略
- 修改密码长度最小值
- 点击应用,点击确认
- 再次尝试新增一个密码强度不够的用户
- 查看新增结果
相关服务以及配置的目的
此节主要讲解以上服务安装以及相关配置的目的:
- Windows Active Directory在Windows Server下的安装
对于AD的相关操作,前提就是构建一个AD服务,而安装AD域服务就是在构建一个AD服务 - 安装AD LDS
AD LDS的安装并不是必须的
正如文档介绍:AD LDS为应用程序特定的数据以及启用目录的应用程序(不需要AD域服务基础架构)提供存储.一个服务器上可以存在多个AD LDS实例,其中每个实例都可以有自己的架构 - 配置AD域服务
配置AD域服务是为了完成AD域服务的初始化工作,以完成后续核心功能的构建 - 检查Active Directory服务连接
检查Active Directory服务是否可用,是否可以通过ldap进行连接,这意味着是否可以将AD的管理映射为ldap的相关操作 - 安装AD CS
AD CS为AD的传输提供了安全的加密套件,支持ldaps协议,既能保证信息安全传输,以及不可篡改等。一些对于信息数据极其敏感的操作需要在ldps下完成,比如新增一个用户并设置密码,调整一个用户状态为启用等.该项功能的缺失,会导致Authing数据同步的用户信息的状态是不可用的 - 配置AD CS
配置AD CS是为了完成AD CS的初始化工作,以完成后续功能的构建。 - 测试通过ldaps连接Active Directory
测试AD CS的相关配置是否出现问题,是否是可用的。 - AD相关策略的修改与测试
此项行为主要为了引导用户注意AD服务中的密码相关策略,因为可能导致在Authing中新增的用户在同步到AD的过程中,出现一些问题。
场景如下: - Authing中的当前密码强度等级较低,用户新增加了一个弱密码账户,而AD中的密码当前设置状态要求一定的复杂度,当用户同步过去的时候,就会因为这些问题造成同步状态异常(用户虽然可以同步,但是状态一直是禁用状态,因为密码会设置不成功,不符合AD的策略,会导致用户启用不成功)。
- Authing中的用户名现在并没有存在设置特殊的规则进行验证筛选,也就是默认Authing中的用户的username可以是任何字符串。但是AD中的用户名却不是,AD中的sAMAccountName属性,有一定的限制,这样就导致了Authing到AD的数据需要处理这些差异性,而这些差异性的导致来自于不同的系统,又是较为合理常见的,我们假设增加一个Authing用户username为authing@gmail.com,当进行同步的时候,常规意义下username与sAMAccountName意义相同的,这两个字段应该作为映射双方,但是authing@gmail.com赋值给sAMAccountName是非法的,必会引起错误。
第二步:在Authing控制台配置Windows AD
请在Authing Console控制台的「企业身份源」页面,点击「创建企业身份源」按钮,进入「选择企业身份源」页面,点击「Windows AD」,进入 「Windows AD登录模式」页面。
请在Authing Console控制台的「企业身份源」-「Windows AD」页面,配置相关的字段信息。
字段 / 功能 | 描述 |
|---|---|
唯一标识 | 唯一标识由小写字母、数字、- 组成,且长度小于32位。这是此连接的唯一标识,设置之后不能修改。 |
显示名称 | 这个名称会显示在终端用户的登录界面的按钮上。 |
应用Logo | 如果设置,Authing登录表单将在"使用{Display Name}登录"的按钮上显示此图标,该图标会展示为20 * 20。 |
同步AD域密码 | 如果设置,当AD认证成功时,会将用户在AD域的密码同步至其在Authing的密码。 |
Authing用户密码修改之后,同步修改到AD | 如果设置,当用户在Authing的密码被修改之后(包含管理员修改密码和用户自己手动重置密码),会将用户在AD中的密码也同步修改。 |
登录模式 | 开启「仅登录模式」后,只能登录既有账号,不能创建新账号,请谨慎选择。 |
账号身份关联 | 不开启「账号身份关联」时,用户通过身份源登录时默认创建新用户。开启「账号身份关联」后,可以允许用户通过「字段匹配」或「询问绑定」的方式直接登录到已有的账号。 |
配置完成后,点击「创建」按钮完成创建。
成功创建之后,自动跳转到应用详情页,你会得到一个Provisioning Ticket Url,这个会在下面的步骤中使用:
之后你需要为你的应用开启此AD连接:
在Windows运行Authing AD Connector
在安装Authing AD Connector之前,请先确保满足以上条件:
- Windows服务器;
- 服务器安装了Active Directory;
- 运行Authing AD Connector的机器上,能够连通Active Directory;
- 一个具有Active Directory的读取权限的用户账密。
首先你需要下载Authing AD Connector,这是一个exe文件,需要运行在你的Windows AD服务器,负责和Authing进行通信。Authing AD Connector需要安装在局域网AD域环境中,但不一定要安装到运行AD服务的服务器上,只要保证Authing AD Connector能够访问到AD用户目录。
点击这里下载最新的Authing AD Connector。
将下载的文件上传到AD域环境的机器上,双击应用,进行安装。
系统可能提出警告,点击「仍要运行」。
选择语言,点击「OK」。
点击「下一步」。
接受许可协议并点击「下一步」。
选择软件安装目录,然后点击「安装」。
等待安装完成。
点击「完成」,会弹出命令行窗口,等待安装完成。
中途可能会出现缺少可选依赖的报错信息,可以忽略。看到以下界面说明安装成功,可按任意键退出:
之后你可以在Windows的服务管理页面看到AuthingADConnector这个服务:
接下来,打开浏览器,访问http://127.0.0.1:9743,会看到以下界面:
将你的Provisioning Ticket Url、AD服务器链接地址、Base DN、域用户名、密码填入,然后点击「保存」按钮。
如果遇到Connector与Authing链接测试失败问题,请稍等一会儿,可能因为网络延迟问题,Connector与Authing握手尚未完成。
如果遇到AD相关的错误,请检查AD服务器链接、账密信息是否正确。
第三步:可选操作:Windows Active Directory用户目录双向同步
本部分包含以下章节:
- AD双向同步的开启时间
- AD双向同步的功能点
- AD同步到Authing
- Authing同步到AD
- 用户验证相关同步
- 一个完整的双向同步过程
AD双向同步的开启时间
配置好之后,你可以选择对应的导入方式导入组织机构。
默认情况下,当你使用AD导入组织机构的之后,并且你已经完成前面相关步骤,此时AD的双向同步已经开启
AD双向同步的功能点
- 从AD同步到Authing
- 新增用户信息
- 改动用户信息
- 删除用户信息
- 增加组织节点
- 变更组织节点信息
- 增加组织成员
- 删除组织成员
- 删除组织节点
- 从Authing同步到AD
- 用户新增(增加组织成员)
- 用户更改
- 用户删除
- 增加组织成员
- 删除组织成员
- 组织节点删除
- 组织节点信息变更
- 组织节点新增
- 用户认证
- AD用户导入
- Authing用户同步到AD
初始化测试环境
- 进入AD根节点,新建一个组织单位
- 创建authing-test组织单位
- 查看该组织单位的属性
- 进入属性编辑器
- 复制该组织单位的DN
- 在Authing控制台,进入同步中心,创建同步任务,选择创建Windows AD同步任务,填写唯一标识后保存。
- 填写AD-Connector相关配置,并进行保存。注意:只有AD-Connector和Authing控制台都保存后,控制台的同步任务的测试连通才是可用的
AD同步到Authing
新增用户信息
改动用户信息
删除用户信息
增加组织节点
变更组织节点信息
增加组织成员
删除组织成员
删除组织节点
Authing同步到AD
用户新增(增加组织成员)
- 在Authing中新增一个用户
- 新增用户信息
- 确保存在来自AD导入的组织机构
- 将新增的用户导入到对应的组织机构
- 用户导入之前的AD数据状态
- 用户导入之后的AD数据状态
用户更改
- 修改该用户的信息
- 修改之前的AD数据状态
- 修改之后的AD数据状态
用户删除
- 删除该用户的信息
- 删除之前的AD数据状态
- 删除之后的AD数据状态
增加组织成员
等同于用户新增(增加组织成员)
删除组织成员
- 删除一个组织节点的成员
- 删除组织成员之前的AD数据状态
- 删除组织成员之后的AD数据状态
组织节点新增
- 新增一个组织节点
- 新增组织节点之前的AD数据状态
- 新增组织节点之后的AD数据状态
组织节点信息变更
- 变更组织节点信息
- 变更之前的AD数据状态
- 变更之后的AD数据状态
组织节点删除
- 删除组织节点
- 删除之前的AD数据状态
- 删除之后的AD数据状态
用户认证
AD用户导入
Authing用户同步到AD
本文原文来自Authing.cn