为成功连接 Orchestrator 和目录服务器,您必须将 LDAP 身份验证设置配置为匹配特定的 LDAP 服务器设置。

表 1. LDAP 身份验证选项

选项

描述

主要 LDAP 主机

控制中心在其上验证用户凭据的第一台主机的 IP 地址或 DNS 名称。

辅助 LDAP 主机

在主要 LDAP 主机无法使用时,控制中心在其上验证用户凭据的主机的 IP 地址或 DNS 名称。

端口

LDAP 服务器的查找端口值。

注:

Orchestrator 支持 Active Directory 分层域结构。如果域控制器配置为使用全局目录,则必须使用端口 3268。不能使用默认端口 389 连接到全局目录服务器。

根命名空间容器。

如果域名为 company.org,则根容器为 dc=company,dc=org

注:

为改进在大型服务目录中的性能,可对树结构中的特定容器进行定义来缩小搜索基准。例如,您可以指定 ou=employees,dc=company,dc=org,而不是搜索整个目录。此搜索过滤器会返回员工组织单位中的所有用户。

在必填文本框中输入的值会生成以下 LDAP 连接 URL:ldap://DomainController:389/ou=employees,dc=company,dc=org

使用 SSL

如果启用了该选项,则 Orchestrator 与 LDAP 之间的连接会加密。

注:

如果 LDAP 使用 SSL,则必须先导入 SSL 证书,然后重新启动 Orchestrator 服务器服务。请参见导入 LDAP 服务器 SSL 证书

用户名

有权浏览目录树的用户帐户的名称。

您可以使用以下任一格式在 Active Directory 中指定用户名:

  • 纯用户名,例如:user

  • 标识名,例如:cn=user,ou=employees,dc=company,dc=org

  • 主体名称,例如:user@company.org

密码

有权浏览目录树的用户帐户的密码。

用户查找库

Orchestrator 用来在其中搜索潜在用户的 LDAP 容器或组织单位。

管理员组

“管理员组”必须为向其授予 Orchestrator 管理权限的 LDAP 组。

例如:域管理员

请求超时

用于确定 Orchestrator 服务器向服务目录发送查询并等待回复的时间段数值(毫秒)。

如果超出此时间段,请修改此值以检查在 Orchestrator 服务器上是否发生超时。

主机可访问超时

用于确定目标主机连接检查的超时时间段数值(毫秒)。

取消引用链接

选中该选项后,LDAP 服务器会对搜索到的用户对象的用户别名进行解析。

筛选器属性

筛选 LDAP 查找所返回的 LDAP 属性。选中该复选框查提高 LDAP 中的搜索速度,因为某些属性不会返回。

但是,您可能需要使用部分额外的 LDAP 属性在稍后用于自动处理。