2.1 AD/LDAP同步的相关概念、同步方式、认证流程

2.1 AD/LDAP同步的相关概念、同步方式、认证流程

Agile Controller-Campus支持与AD、IBM Tivoli、SUN ONE、Novell Edirectory、JIT Galaxy和其他标准LDAP服务器同步用户组和用户，并支持多种同步方式以适配AD/LDAP服务器的多样化存储结构。

相关概念

同步方式简介

Agile Controller-Campus用户管理中用户组和帐号以树状存储，一个帐号只属于一个用户组，与企业组织结构一致。

Agile Controller-Campus提供多种同步方式以适配AD/LDAP服务器中OU、组和用户多样化存储结构。假设企业组织结构如图3所示，请根据存储结构选择合适的同步方式

模式1：按OU同步

AD/LDAP存储结构

适用场景

AD/LDAP服务器存储的OU结构与企业组织结构一致，用户存放在所属OU下。可以直接将OU结构和所包含用户直接同步到Agile Controller-Campus映射为用户组和帐号。

模式2：AD按组同步，OU描述组织架构

适用场景

AD服务器中以OU表示组织单元，但未按企业组织结构树状存储；用户未存储在所属OU。例如表示组织单元的OU存放在OU=Dept，所有用户存放在OU=User。

模式3：AD按组同步，组描述组织架构

适用场景

AD服务器中以组（Group）表示组织单元，扁平存储在一个容器（OU）中；用户存储在另一个OU中。

由于组无法以树状结构存储，组之间通过属性确定上下级关系。例如member属性标识子组或用户，memberOf属性标识父组。

用户与组之间通过属性确定所属组。例如memberOf属性标识用户所属组。

模式4：LDAP按组同步

LDAP存储结构

适用场景

LDAP服务器中OU/组以企业组织结构树状存储，或未按企业组织结构存储但可以通过属性确定父子关系。

用户未存放在所属OU/组，但可以通过属性确定用户所属OU/组。

模式5：平面架构同步或定制模式

AD/LDAP存储结构

AD/LDAP中数据存储结构不满足以上要求，扁平存放，但可以通过某些属性和计算公式确定关系。

适用场景

“模式5”或“定制模式”均需根据特定属性和计算公式确定OU/组父子关系和用户所属OU。

“模式5”与“定制模式”的区别在于“模式5”提供默认的属性标识和计算公式，而“定制模式”未提供。

（1）按条件同步

AD/LDAP存储结构

帐号存放混乱，但均有特定属性表示该帐号所属OU。属性的数据类型必须为Directory String。

适用场景

条件同步只同步帐号，首先需要根据企业组织结构在Agile Controller-Campus新建或导入用户组，作为帐号同步的目标用户组，同步时根据帐号所属OU的属性值确定该帐号对应的目标用户组，只有满足条件的帐号才同步到Agile Controller-Campus。

（2）不同步帐号/组织结构

适用场景

如果企业安全性要求较高，不希望将组织结构和用户数据同步到Agile Controller-Campus，用户帐号密码直接到AD/LDAP服务器校验。

对于不同步方式，整个AD/LDAP服务器的帐号都映射到Agile Controller-Campus的一个指定用户组，所有认证通过后的帐号都使用映射用户组的权限。

不同步方式无法对每个帐号精确授权。Agile Controller-Campus只支持添加一个不同步方式的AD/LDAP服务器。

（3）Webservice同步

只有部分局点支持该同步方式。

（4）按ACC同步

只有部分局点支持该同步方式。

角色映射规则

对于AD/LDAP数据源的用户，如果管理员需要根据角色管理，可以对AD/LDAP数据源配置角色映射规则，满足规则的帐号自动分配到对应的角色。

对于帐号同步到Agile Controller-Campus的场景，在同步帐号时根据角色映射规则分配角色；对于不同步的场景，在帐号RADIUS认证时根据角色映射规则分配角色。

对于帐号同步到Agile Controller-Campus的场景，管理员也可以在“用户管理”中手动设置帐号所属角色，手动设置的角色优先级高于同步时自动映射的角色，后续同步不影响手动设置的帐号所属角色。

在AD/LDAP服务器删除帐号时，同步操作后Agile Controller-Campus将删除该帐号相关的所有信息，即使在手工设置的角色中也会对应删除该帐号。

AD/LDAP帐号认证流程

图4 AD/LDAP帐号认证流程

对于同步帐号的场景：

    帐号已同步到Agile Controller-Campus：

        用户输入帐号密码认证。

        在Agile Controller-Campus验证帐号，如果帐号存在则发往AD/LDAP验证密码。

        密码验证通过后返回Agile Controller-Campus，根据配置的授权规则对用户授权。

    帐号未同步到Agile Controller-Campus且启用快速同步功能：

        如果Agile Controller-Campus验证帐号不存在，则继续发往AD/LDAP验证。

        如果帐号在AD/LDAP服务器存在，将该帐号增量同步到Agile Controller-Campus。同步成功后Agile Controller-Campus将帐号发往AD/LDAP服务器校验密码，校验成功后认证通过。

如果未同步帐号的所属用户组在Agile Controller-Campus不存在，即整个用户组新增的情况，触发帐号所属用户组的增量同步。同步时间依赖帐号数，可能由于未及时同步完成导致认证失败。待同步完成后再次认证即可。

帐号未同步到Agile Controller-Campus但未启用快速同步功能，则认证失败。

对于不同步帐号的场景：

用户输入帐号密码后由Agile Controller-Campus转发到AD/LDAP服务器验证帐号密码，如果验证通过则返回Agile Controller-Campus，根据映射的目标用户组授权。

独立认证服务器

当企业存在多个AD/LDAP服务器负载均衡时，管理员可以为SC服务器指定对应的AD/LDAP服务器作为认证服务器，避免所有SC服务器连接到同一AD/LDAP服务器。所有AD/LDAP服务器之间定期同步数据。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html