配置 XTM 设备以使用 Active Directory Server 对用户进行认证时,您会添加一个搜索库。 搜索库是在 Active Directory 分层结构中对用户帐户条目进行搜索时开始的地方。 这有助于促使认证过程更快。
在开始之前,您必须有一个运行的 Active Directory Server,其中包含所有您希望为其配置 XTM 设备认证的用户帐户信息。
在 Active Directory Server 中:
域名组件具有格式 dc=域名组件,附加在搜索库字符串的结尾,也用逗号分隔。
在域名的每一级别中,都必须在 Active Directory 搜索库中包括独立的域名组件。 例如,如果您的域名是 prefix.example.com,则搜索库中的域名组件为 DC=prefix,DC=example,DC=com。
要确保 Active Directory 搜索能找到您的域中的任何用户对象,请指定域的根目录。 例如,如果您的域名是 kunstlerandsons.com,并且您希望 Active Directory 搜索找到整个域中的任何用户对象,则要添加的搜索库字符串为:
DC=kunstlerandsons,DC=com
如果您希望限制搜索从域的根目录下的某容器开始,请指定采用逗号分隔形式的容器的完全限定名,其以基容器的名称开头,并向域的根目录推进。 例如,如果您的域名在展开的树中如下所示:
同样假设您希望 Active Directory 搜索在示例中显示的“销售”容器中开始。 这使搜索能够在“销售”容器及其内的任何容器中找到任何用户对象。
添加到 XTM 设备配置中的搜索库字符串为:
ou=sales,ou=accounts,dc=kunstlerandsons,dc=com
搜索字符串不区分大小写。 输入搜索字符串时,使用大写字母或小写字母均可。
此搜索不会在“发展”或“管理”容器,或者“内置”、“计算机”、“域控制器”、“ForeignSecurityPrincipals”、或“用户”容器中查找用户对象。
只有为“登录属性”选择了与默认值 sAMAccountName 不同的选项时,才必须填写这些字段。 大多数使用 Active Directory 的组织都不会对此进行更改。 如果将此字段保留默认值 sAMAccountName,用户在进行认证时提供其常用 Active Directory 登录名作为用户名。 这个名称就是您在“Active Directory 用户和计算机”中编辑用户帐户时,“帐户”选项卡上“用户登录名”文本框中显示的名称。
如果您在“登录属性”中使用了其他值,尝试进行认证的用户就要提供其他格式的用户名。 在这种情况下,您必须向 XTM 设备配置中添加搜索用户认证信息。