一、 组网需求:
iMC UAM可以配置为从LDAP服务器上自动同步用户信息,免去了管理员同时维护两套用户信息的繁琐。最常用的LDAP服务器是微软的域控制器(AD服务器)。通常情况下,配置同步时都是以组织单元为单位同步账户。如下图所示:
有时用户希望仅同步同一个组织单元内的部分用户,而不是将整个组织单元下的用户都同步过来。以上图为例,比如用户希望仅同步“技术支持中心”这个组织单元下的“张三”和“李四”这两个账户,而不同步“王五”这个账户。但是又不希望通过调整组织单元结构(比如将“张三”和“李四”转移到单独的组织单元内)来达到目的。在不调整组织单元结构的情况下,我们首先想到的是通过在iMC服务器上配置同步过滤属性将具有同一属性的账户都同步过来,而排除那些不具备该属性的账户。而如果所有LDAP用户的属性都相同的情况下,这个方法就行不通了。
采用以用户组为单位同步账户的方式可以实现上述需求。这种方式仅需要在AD服务器上增加一些配置,而无需修改原有的组织结构。
二、 组网图:
三、 配置步骤:
1. 增加安全组
1)首先新建一个组织单元。
2)选择新建的组织单元,在其下新建一个用户组。
2. 将需要同步至iMC服务器的账户添加到安全组中
1)选中新建的用户组,进入其属性窗口中的成员选项卡。
2)在输入对象名称栏中直接输入用户的登录名,将需要同步至iMC服务器的账户添加到安全组中。
3. 配置LDAP服务器
1)配置LDAP服务器,这里“BASE DN”一栏仍然配置为用户实际所属的组织单元,而非安全组所属的组织单元。
2)配置LDAP同步策略,将过滤条件配置为:(&(memberOf=cn=认证用户,ou=EAD用户组,dc=itoip,dc=com)(objectclass=*)),其中“认证用户”为安全组的名称,“EAD用户组”为该安全组所在的组织单元的名称。
配置完成后,点击LDAP同步策略列表中后方的同步按钮,待同步完成后即可查看接入用户列表验证同步的效果。
四、 配置关键点:
1) 在iMC服务器上配置LDAP服务器时,“BASE DN”一栏仍然配置为用户实际所属的组织单元,而非安全组所属的组织单元。
2) 如果需要在多个组织单元中同步特定的用户,AD服务器上可以只配置一个安全组,将每个组织单元中需要同步的用户都加入该安全组。配置LDAP服务器时,“BASE DN”必须能够包含存在待同步用户的多个组织单元。建议创建多个以组织单元名称命名的LDAP服务器配置,每个LDAP服务器配置中的“BASE DN”都仅指向一个单独的组织单元。同时创建多个LDAP同步策略,同样以组织单元名称命名,与LDAP服务器配置一一对应。这些LDAP同步策略的名称虽然不同,但过滤规则是一样的。