AD集成和用户导入
(同步AD用户组/组织单位功能只在企业版可用)
PMP为您提供了集成AD以及导入用户功能。拥有域账户且能够登录到域的用户也同样可以使用域账户直接登录到PMP。(不必再次登录PMP)。
只需四步就可以将AD中的用户导入到PMP,并为他们指派PMP中的适当角色。步骤如下:
第一步 - 导入用户
PMP可以自动搜索出一个域列表,选择所需的域并提供域控明细。
开始操作
- 点击"管理",点击"活动目录"
- 进入第一步并点击"立即导入"
- 您也可以从"管理 >> 用户 >> 添加用户 >> 从AD中导入"进行操作。
在弹出的界面,进行如下操作,
- 从域列表中选择域名
- 输入域控的DNS名称。这里的域控为主域控。
- 在主域控停止工作时,辅助域控会被使用。如果您的环境中安装了辅助域控,输入它们的DNS名称,多个DNS名称用逗号隔开。如果您正在使用SSL模式,请确保输入的DNS名称与SSL证书中的CN(通用名称)相匹配。
- 输入域控中具有读权限的用户凭证(用户名和密码)。(如果您需要从多个域导入用户,请按照“域名\用户名”的格式输入。)例如,您要导入域A中的用户,那么输入的用户名应该为<(域名A>\用户名)
- 您可以对每一个域开启SSL加密连接。前提是添加的域控必须开启了SSL端口636,而且必须将域控的根证书导入到安装了PMP的计算机中。
- 在安装了PMP的服务器中,打开IE浏览器,点击工具 >> Internet 选项 >> 内容 >> 证书
- 点击 "导入"
- 找到您的CA发行的根证书
- 点击"下一步",选择"根据证书类型自动选择证书库"并安装
- 再次点击"导入"
- 找到域控证书
- 点击"下一步"并选择"根据证书类型自动选择证书库"并安装
- 应用所做的更改并关闭向导。
- 重复这个步骤安装其它根链上的证书。
- 默认情况下,PMP会导入AD中的所有组合组织单位。如果您只想导入用户,请输入用户名,并以逗号分开。
- 您可以使用相同方法导入组或组织单位。
- 当有新的用户被添加到AD时,PMP可以自动进行同步。您需要在这里输入同步时间间隔。最小间隔为一分钟,也可以在这里设置小时、天。
- 点击"保存"。PMP会马上开始添加域中的用户,再次导入时,只会将新加入域的用户导入到PMP中。
- 同样,您也可以导入组织单位或者用户组。
也就是说,开启SSL模式,域控应该开启SSL端口636.如果域控的证书没有被CA签名,您必须手动将证书导入到PMP所在服务器的证书库,并导入所有根证书链中的根证书和中间证书
将域控证书导入到PMP所在服务器证书库:(您可以使用平时经常使用的程序导入SSL证书。如下例所示:)
PMP服务器可以通过SSL与域控进行通信。重复上面步骤对其它域控进行配置。需要注意的是,这里输入的DNS名称应该和SSL证书中的CN名称(通用名称)相匹配。
重要提示:
“太大的组或组织单位不能显示”
域控中的大组或大组织单位,指的是成员数大于2500个时,PMP将不会把他们显示在界面中。这时,您会看到一条信息,告诉您“组或组织单位太大,不能显示”。遇到这种情况,请用如下方法解决:
方法1:只选择要导入的组或组织单位。
您可以只导入需要的组或组织单位,而不是所有。
方法2:增加组或组织单位显示的最大值:
您可以通过设置PMP安装目录中的system_properties.conf文件来设置组或组织单位最大显示值,步骤如下:
进入Navigate to <PMP_Installation_Folder>/conf目录,编辑system_properties.conf文件中的如下内容:
domain.group.limit=2500
domain.ou.limit=2500
请根据您的需要进行修改。
- AD用户导入到PMP之后是什么角色?
- 导入的AD用户和本地用户都能登录到PMP吗?
- 如何检查是否用户、用户组同步到了PMP?
AD用户导入到PMP之后,默认具有“密码用户”角色。如果您想为用户指派其它角色,请进入下面的步骤2。
对。您既可以使用AD用户的密码登录PMP,也可以在禁用AD认证时使用本地密码登录PMP。
同步通过一个计划任务来完成。您可以在审计 >> 任务审计界面查看。如果您希望在发生同步时收到通知,请参照'任务审计'说明进行设置。另外,您也可以在AD认证的第一步设置,点击“查看同步计划”,同步计划明细就会出现。
第二步 - 指派角色
所有被导入PMP的用户会被默认指派为“密码用户”角色。如需指派其它角色,请按如下步骤进行操作,
- 进入步骤2,位于(管理 >> 活动目录)点击"立即分配角色"
- 你可以在左侧列表里看到所有从AD导入进来的用户,他们默认都是“密码用户”。
- 您可以为这些指派相应的角色,包括“密码管理员”,“密码用户”,“密码审计员”。
- 点击“保存”完成操作。
第三步 - 开启AD认证
第三步,启用AD认证。这将允许AD用于使用他们的域密码登录到PMP。前提是这些AD用户已经被导入了PMP。
提示:请确保导入到PMP的AD用户至少有一个是具有“管理员”角色的用户。
第四步 - 开启单点登录
如果启用这个选项,使用域账户登录到Windows系统的用户不需要Password Manager Pro再次验证。启用之前,应该先启用AD身份验证,并且从域中导入了相应的用户。
PMP使用名称为'Java Enterprise Security Provider Authority' (Jespa)的第三方证书库,为活动目录和Java应用提供高级集成。Jespa NTLM安全提供商使用NETLOGON服务验证凭证。
您需要创建一个计算机账户,并为该计算机账户设置密码。作为一个服务账户连接到AD域控的NETLOGON服务。
也就是说,PMP需要一个域控中的计算机账户来执行认证(一个计算机账户必须可用或被创建 - 一个普通的用户账户在这里不可用)
启用单点登录
- 打开步骤4,位于(管理 >> 活动目录),并点击"启用单点登录"
- 在打开的界面中选择域
- 输入全限定域名"全限定域名" (例如,zohocorpin.com)
- 输入已创建的计算机账户名称,并输入密码。
- 如果您想要创建新的计算机账户,请选择"在域中创建此计算机账户"。 Jespa包含一个设置计算机账户密码的脚本。
- 点击"保存"
提示:
默认IE浏览器支持NTLM认证。下面为您介绍如何在Firefox中设置:
- 打开Firefox浏览器,在浏览器中输入“about:config”,并敲击键盘 "回车"键。
- 您将会看到一个设置列表
- 在搜索栏输入"ntlm",找到"network.automatic-ntlm-auth.trusted-uris"设置并双击该条目,输入PMP服务器地址(https://<PMP服务器主机名称>:<端口>)
- 找到"network.ntlm.send-lm-response"
- 双击将默认值"False"改为"True"
对于MSP版本,一次只能为一个客户组织开启单点登录。MSP管理员可以启用或禁用此功能。