绑定AD

绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。

操作场景

身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。

操作步骤

1. 进入“天翼AI云电脑（政企版）”管理控制台；

2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面；

第一步：连接AD

在第一步中，您需要在绑定AD中填写以下信息：

显示名称：

说明：管理员查看AD配置及相关操作日志时显示。

AD 域名：

说明：您的 Active Directory 域的全称。

格式：符合 DNS 命名规范（例如：example.com）。

示例：corp.yourcompany.com

主域控制器 DNS：

说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。

示例：192.168.1.10 或 dc01.corp.yourcompany.com

备域控制器 DNS (可选)：

说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。

示例：192.168.1.11 或 dc02.corp.yourcompany.com

AD 认证账号：

说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。

格式：支持以下格式：

UPN 格式：username@domainname (例如：admin@corp.yourcompany.com)

DN 格式：CN=Username, OU=SomeOU, DC=corp, DC=yourcompany, DC=com (例如：CN=svc_bind, OU=Service Accounts, DC=corp, DC=yourcompany, DC=com)

权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。

AD 认证密码：

说明：上述认证账号对应的密码。

安全提示：输入密码通常以掩码显示。

用户组织单元 (OU)：

说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。

格式：使用 LDAP 可分辨名称 (Distinguished Name)。

示例：OU=Employees, DC=corp, DC=yourcompany, DC=com

云电脑加入的 OU：

说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。

格式：使用 LDAP 可分辨名称 (Distinguished Name)。

示例：OU=Cloud PCs, DC=corp, DC=yourcompany, DC=com

必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。

共享公网出口 IP：

地址： 182.42.7.245

作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。

网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。

防火墙端口要求：

目的： 允许云服务通过指定的协议端口与您的域控制器通信。

必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口：

LDAP (明文/StartTLS)： 端口 389 (TCP)

LDAPS (SSL/TLS 加密)： 端口 636 (TCP)

注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。

目录访问协议：

可选协议：

LDAP： 标准轻型目录访问协议。默认使用端口 389。

StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。

LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。

域控制器服务器地址：

说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。

格式：IP地址:端口 或 完整域名(FQDN):端口

要求：

主域控制器地址： (必填)

备域控制器地址： (可选)

端口选择：

如果选择 LDAP (无 StartTLS)，端口填 389。

如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。

关键说明：

服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。

示例 (使用公网IP)：

主：203.0.113.10:636 (假设使用 LDAPS)

备：203.0.113.11:636

示例 (使用FQDN)：

主：dc01.corp.example.com:636

备：dc02.corp.example.com:636

重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。

第二步：选择场景

在第二步中，选择希望和AD实现的场景能力。

登录未关联用户配置：

企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败；

选择自动创建用户则创建用户并登录成功

增量同步：从所选择的时间点开始进行同步

数据同步时间：从所选择的时间点开始进行同步

同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步

委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验

用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClass=user 的对象视作AD 中的用户。

用户登录标识：可使用;对属性进行分割，此时为或关系

用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤

第三步：字段映射

如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。

配置其它AD

用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。

配置系统：Windows 系统 、银河麒麟、中标麒麟

其它配置项参考绑定AD