Docker 与所有优秀的企业级工具一样,UCP 能够与活动目录及其他 LDAP 目录服务进行集成,从而利用组织中现有的单点登录系统中的用户和组。
在开始更加深入的介绍之前,请务必与负责组织目录服务的团队讨论 AD/LDAP 的集成方案。让他们从集成之初就参与进来,从而使得集成方案的制定和实施尽可能顺利进行。
UCP 的用户和组的数据存储在一个本地数据库中,从而使DTR能够“开箱即用”地直接利用这一点来实现单点登录(SSO)。UCP 的认证作用于本地所有的访问请求,因此登录到 DTR 时并不需要再输入一遍 UCP 的登录信息了。
不过,UCP 管理员可以通过对 UCP 进行配置,以便利用现有存储在 AD 或其他 LDAP 目录服务中的企业用户账户,从而将账户管理和身份认证工作交给现有团队或服务。
下面将介绍如何配置 UCP,来利用 AD 的用户账号。总体来说,其过程在于让 UCP 在一个指定的目录中搜索用户账号,并将其复制到 UCP 中。再次强调,以下操作请与目录服务团队合作完成。
⒈ 展开左侧导航栏的 Admin(管理)下拉菜单,然后选择 Admin Settings(管理设置)。
⒉ 选择 Authentication & Authorization(认证&授权),并在 LDAP Enabled 启用 LDAP 标题下单击 Yes。
⒊ 配置 LDAP 服务器设置。总体来说,LDAP Server Settings(LDAP 服务设置)可以理解为到哪里去搜索。也就是,到哪个目录中去查询用户账号。
这里填写的内容以实际环境为准。
LDAP Server URL(LDAP 服务器 URL)指域中要去搜索账户的 LDAP 服务器。例如 ad.mycompany.internal。
Reader DN 和 Reader Password 是在目录中有搜索权限的用户信息。该账户必须是在目录中存在且可信的。最好的实践方式是使用对目录具有只读权限的账户。
也可以单击 Add LDAP Domain + 按钮来添加额外的搜索域。每一个搜索域都需要提供其 LDAP Server URL 和 Reader account。
⒋ 设置LDAP用户搜索配置项。如果说 LDAP Server Settings是到哪里去搜索,那么LDAP User Search Configuration(LDAP用户搜索配置)就是搜索什么。
Base DN:指在哪个 LDAP 节点中开始搜索。
UserName Attribute:指会被用于 UCP 中用户名的 LDAP 属性。
Full Name Attribute:指会被对应到 UCP 中用户全名的 LDAP 属性。
其他高级设置请查看文档。当然,在配置与 LDAP 集成的时候还应咨询目录服务团队。
⒌ 一旦完成了 LDAP 的配置,UCP 会在 LDAP 搜索匹配的用户,并在 UCP 的用户数据库创建它们。之后,UCP 会根据在 Sync Interval (Hours)(同步周期(小时))的设置进行周期性的同步。
如果勾选 Just-In-Time User Provisioning(即时用户置备)复选框,UCP 会将创建用户的操作延迟到该用户第一次登录时进行。
⒍ 在单击 Save 前,尽量在 LDAP Test Login(LDAP 登录测试)下进行登录测试。
在进行登录测试时需要使用所配置的 LDAP 系统中的账户。该测试会基于以上的所有配置(待保存的 LDAP 配置)。请在测试成功后再保存配置。
⒎ 保存配置。
此时,UCP 会搜索 LDAP 系统,并创建能够匹配 Base DN 以及其他配置的账户。在集成 LDAP 之前创建的账户依然存在于系统中,并且依然可用。