AD/LDAP 配置教程 - PDF 免费下载

AD/LDAP 配置教程产品版本 ZStack 3.2.0

AD/LDAP 配置教程 / 版权声明版权声明版权所有上海云轴信息科技有限公司 2018 保留一切权利非经本公司书面许可任何单位和个人不得擅自摘抄复制本文档内容的部分或全部并不得以任何形式传播商标说明 ZStack商标和其他云轴商标均为上海云轴信息科技有限公司的商标本文档提及的其他所有商标或注册商标由各自的所有人拥有注意您购买的产品服务或特性等应受上海云轴公司商业合同和条款的约束本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定上海云轴公司对本文档内容不做任何明示或暗示的声明或保证由于产品版本升级或其他原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本文档中的所有陈述信息和建议不构成任何明示或暗示的担保 I

AD/LDAP 配置教程 / 1 介绍 1 介绍 LDAP Lightweight Directory Access Protocol 作为轻量级目录访问协议可提供标准的目录服务微软的WindowsAD软件以下简称AD 以及众多流行的Linux发行版中提供的OpenLDAP软件以下简称LDAP 均是基于LDAP协议的实现它们为日益多样化的企业办公应用提供了一套独立标准的登录认证系统 ZStack支持无缝接入AD/LDAP统一认证服务基于自定义规则添加AD/LDAP服务器并获取成员列表当AD/LDAP成员用户/用户组成功绑定ZStack账户普通账户/管理员就可使用成员登录属性直接登录ZStack云平台 ZStack账户普通账户/管理员与AD/LDAP成员用户/用户组的绑定关系如图 1: ZStack-AD/ LDAP绑定关系所示图 1: ZStack-AD/LDAP绑定关系本教程将详细介绍ZStack接入AD/LDAP的配置方法注: 目前仅支持接入一套AD/LDAP登录认证系统 1

AD/LDAP 配置教程 / 2 前提 2 前提在此教程中假定已安装最新版本ZStack 具体方式请参考用户手册安装部署章节 2

AD/LDAP 配置教程 / 3 添加AD/LDAP 3 添加AD/LDAP 背景信息 ZStack支持基于自定义规则添加AD/LDAP服务器操作步骤 1. 登录ZStack 使用Chrome浏览器或FireFox浏览器进入ZStack管理界面 http://your_machine_ip:5000 / 默认用户名和密码为 admin/password 如图 2: ZStack登录界面所示图 2: ZStack登录界面 2. 进入AD/LDAP管理界面在ZStack私有云主菜单点击平台管理 > AD/LDAP 进入AD/LDAP管理界面如图 3: AD/LDAP管理界面所示图 3: AD/LDAP管理界面 3

AD/LDAP 配置教程 / 3 添加AD/LDAP 3. 添加AD/LDAP 点击添加AD/LDAP 弹出添加AD/LDAP界面如图 4: AD/LDAP设置界面所示图 4: AD/LDAP设置界面 4

AD/LDAP 配置教程 / 3 添加AD/LDAP 注: 由于AD/LDAP统一认证服务是基于LDAP协议的不同实现添加AD/LDAP的方法基本一致以下将以添加AD服务器为例进行介绍 a) 在AD/LDAP设置界面可参考以下示例输入相应内容选择添加的服务器类型 AD 将添加WindowsAD类型的服务器 LDAP 将添加OpenLDAP类型的服务器 5

AD/LDAP 配置教程 / 3 添加AD/LDAP 服务器填写AD/LDAP服务器的域名或IP地址以AD为例 adtest.com或172.20.12.180 端口填写访问AD/LDAP服务器所使用的端口默认使用389端口基准检索DN 填写用于检索已绑定AD/LDAP成员的基准DN Distinguished Name 注: 基准检索DN的设置会限制查询结果希望查询当前AD/LDAP域的所有成员请设置基准检索DN为域节点以AD为例 DC=adtest,DC=com 希望查询当前AD/LDAP域中隶属某一组织的成员请设置基准检索DN为目标组织节点以AD为例 OU=people,DC=adtest,DC=com 登录属性设置AD/LDAP服务器的登录属性登录属性决定了已绑定AD/LDAP成员的登录名以AD为例 distinguishedname 表示已绑定AD成员可用distinguishedName相应的value 例如 CN=xiaoming,OU=people,DC=adtest,DC=com 作为ZStack登录名 userprincipalname 表示已绑定AD成员可用userPrincipalName相应的value 例如邮箱地址 xiaoming@adtest.com 作为ZStack登录名 cn 已绑定AD成员可用cn相应的value 例如名称xiaoming 作为ZStack登录名注: 支持自定义设置登录属性默认情况下设置AD服务器的登录属性为cn LDAP服务器的登录属性为uid 为确保成功登录所指定的登录属性在AD/LDAP域中相应的value 作为登录名必须全局唯一用户DN 填写用于AD/LDAP服务器认证的AD/LDAP成员的DN 需确保填写完整以AD为例 CN=xiaoming,OU=people,DC=adtest,DC=com 注: 所填写的用户DN 必须有权访问基准检索DN中的所有用户因此是与基准检索DN 相对应的或域级或组织级或用户组级的管理员DN 6

AD/LDAP 配置教程 / 3 添加AD/LDAP 密码填写与用户DN相应的密码清除规则可选项自定义清除规则系统将清理满足条件的绑定关系以AD为例希望清除所有已离职员工的账号绑定关系可设置清除规则(description=已离职) 如图 5: 添加AD所示图 5: 添加AD 7

AD/LDAP 配置教程 / 3 添加AD/LDAP b) 点击确定将保存所填写配置信息 4. 管理AD/LDAP服务器在AD/LDAP管理界面可对已添加的AD/LDAP进行管理支持以下操作查看点击已添加的AD/LDAP 展开详情页可查看名称端口号基准检索DN 登录属性用户DN 清除规则等基本属性测试选中已添加的AD/LDAP服务器点击更多操作 > 测试会基于所填写配置信息尝试连接AD/LDAP 同步当AD/LDAP的配置信息发生变化例如设置新的清除规则选中已更新配置信息的AD/ LDAP 点击更多操作 > 同步将清除ZStack中无效的绑定信息删除目前仅支持添加一个AD/LDAP 如需添加其它AD/LDAP 或对已添加的AD/LDAP更新配置信息需删除当前AD/LDAP 进行重新添加后续操作至此 ZStack成功添加AD/LDAP 将获取AD/LDAP成员列表接下来 ZStack需要绑定AD/ LDAP成员 8

AD/LDAP 配置教程 / 4 绑定AD/LDAP成员 4 绑定AD/LDAP成员前提条件 ZStack账户普通账户/管理员与AD/LDAP成员用户/用户组的绑定关系如下普通账户一套ZStack支持创建多个普通账户一个普通账户可直接绑定一个或多个AD/LDAP成员用户/用户组普通账户绑定AD/LDAP用户组时支持用户组中嵌套用户组一个AD/LDAP成员用户/用户组不可绑定多个普通账户一个AD/LDAP成员用户/用户组绑定一个普通账户后不可再绑定管理员绑定普通账户的AD/LDAP成员登录ZStack后所属资源权限与当前所绑定的普通账户一致管理员一套ZStack仅支持创建一个管理员管理员可直接绑定一个或多个AD/LDAP成员用户/用户组管理员绑定AD/LDAP用户组时支持用户组中嵌套用户组一个AD/LDAP成员用户/用户组绑定管理员后不可再绑定普通账户绑定管理员的AD/LDAP成员登录ZStack后所属资源权限与当前所绑定的管理员一致背景信息普通账户绑定AD/LDAP成员与管理员绑定AD/LDAP成员操作方法完全一致以下将以普通账户绑定AD/LDAP成员为例进行介绍操作步骤 1. 进入普通账户绑定AD/LDAP成员界面在ZStack私有云主菜单点击平台管理 > 用户管理 > 账户进入账户界面选择某一普通账户进入其详情页点击AD/LDAP 进入AD/LDAP界面如图 6: AD/LDAP界面所示图 6: AD/LDAP界面 9

AD/LDAP 配置教程 / 4 绑定AD/LDAP成员 2. 勾选绑定到普通账户的AD/LDAP成员点击操作 > 绑定AD/LDAP成员弹出绑定AD/LDAP成员界面点击+ 展开选择AD/LDAP成员列表页分别提供按用户和按用户组两个分栏可按需勾选绑定到该普通账户的AD/ LDAP成员如图 7: 选择AD/LDAP成员所示图 7: 选择AD/LDAP成员目前支持按CN uid 高级搜索等条件快速搜索可点击每个AD/LDAP成员的详情查看更多属性 3. 依次点击确定按钮所勾选AD/LDAP成员成功绑定到普通账户如图 8: 普通账户绑定AD/LDAP成员所示图 8: 普通账户绑定AD/LDAP成员 10

AD/LDAP 配置教程 / 4 绑定AD/LDAP成员目前支持按CN uid 高级搜索等条件快速搜索可点击每个AD/LDAP成员的详情查看更多属性如需绑定更多AD/LDAP成员到普通账户点击操作 > 绑定AD/LDAP成员即可如需将某一AD/LDAP成员从普通账户解绑勾选该AD/LDAP成员点击操作 > 解绑AD/ LDAP成员即可支持批量操作后续操作至此 ZStack成功绑定AD/LDAP成员接下来可使用AD/LDAP成员登录属性直接登录ZStack云平台 11

AD/LDAP 配置教程 / 5 AD/LDAP登录 5 AD/LDAP登录操作步骤 1. 打开AD/LDAP登录界面如图 9: AD/LDAP登录界面所示图 9: AD/LDAP登录界面 2. 使用已设置的AD/LDAP成员登录属性直接登录ZStack云平台以AD为例若已设置登录属性为cn 某一已绑定的AD成员可用cn相应的value 例如名称xiaoqiao.la 作为ZStack登录名该AD成员在AD域中使用的密码作为ZStack登录密码如图 10: 基于登录属性登录ZStack所示图 10: 基于登录属性登录ZStack 12

AD/LDAP 配置教程 / 5 AD/LDAP登录 3. AD/LDAP成员成功登录ZStack 所属资源权限与当前所绑定的ZStack账户一致如图 11: AD/LDAP登录成功所示图 11: AD/LDAP登录成功至此 ZStack接入AD/LDAP的配置方法介绍完毕 13

AD/LDAP 配置教程 / 术语表术语表区域 Zone ZStack中最大的一个资源定义包括集群二层网络主存储等资源集群 Cluster 一个集群是类似物理主机 Host 组成的逻辑组在同一个集群中的物理主机必须安装相同的操作系统虚拟机管理程序 Hypervisor 拥有相同的二层网络连接可以访问相同的主存储在实际的数据中心一个集群通常对应一个机架 Rack 管理节点 Management Node 安装系统的物理主机提供UI管理云平台部署功能计算节点 Compute Node 也称之为物理主机或物理机为云主机实例提供计算网络存储等资源的物理主机主存储 Primary Storage 用于存储云主机磁盘文件的存储服务器支持本地存储 NFS Ceph Shared Mount Point等类型镜像服务器 Backup Storage 也称之为备份存储服务器主要用于保存镜像模板文件建议单独部署镜像服务器镜像仓库 Image Store 镜像服务器的一种类型可以为正在运行的云主机快速创建镜像高效管理云主机镜像的版本变迁以及发布实现快速上传下载镜像镜像快照以及导出镜像的操作云主机 VM Instance 运行在物理机上的虚拟机实例具有独立的IP地址可以访问公共网络运行应用服务镜像 Image 云主机或云盘使用的镜像模板文件镜像模板包括系统云盘镜像和数据云盘镜像 14

AD/LDAP 配置教程 / 术语表云盘 Volume 云主机的数据盘给云主机提供额外的存储空间共享云盘可挂载到一个或多个云主机共同使用计算规格 Instance Offering 启动云主机涉及到的CPU数量内存网络设置等规格定义云盘规格 Disk Offering 创建云盘容量大小的规格定义二层网络 L2 Network 二层网络对应于一个二层广播域进行二层相关的隔离一般用物理网络的设备名称标识三层网络 L3 Network 云主机使用的网络配置包括IP地址范围网关 DNS等公有网络 Public Network 由因特网信息中心分配的公有IP地址或者可以连接到外部互联网的IP地址私有网络 Private Network 云主机连接和使用的内部网络 L2NoVlanNetwork 物理主机的网络连接不采用Vlan设置 L2VlanNetwork 物理主机节点的网络连接采用Vlan设置 Vlan需要在交换机端提前进行设置 VXLAN网络池 VXLAN Network Pool VXLAN网络中的 Underlay 网络一个 VXLAN 网络池可以创建多个 VXLAN Overlay 网络即 VXLAN 网络这些 Overlay 网络运行在同一组 Underlay 网络设施上 VXLAN网络 VXLAN 使用 VXLAN 协议封装的二层网络单个 VXLAN 网络需从属于一个大的 VXLAN 网络池不同 VXLAN 网络间相互二层隔离 15

AD/LDAP 配置教程 / 术语表云路由 vrouter 云路由通过定制的Linux云主机来实现的多种网络服务安全组 Security Group 针对云主机进行第三层网络的防火墙控制对IP地址网络包类型或网络包流向等可以设置不同的安全规则弹性IP EIP 公有网络接入到私有网络的IP地址快照 Snapshot 某一个时间点上某一个磁盘的数据备份包括自动快照和手动快照两种类型 16