连接 Windows Active Directory 身份源

1

在 Windows 服务器安装 Active Directory 以及相关配置

2

在 Windows 服务器安装 AD Connector

3

在 Authing 创建一个应用

4

使用 Windows Active Directory 用户目录登录

5

Windows Active Directory 用户目录双向同步

在 Windows 服务器安装 Active Directory 以及相关配置

本文包含以下章节:

  • Windows Active Directory 在 Windows Server 下的安装
  • 安装 AD LDS
  • 配置 AD 域服务
  • 检查 Active Directory 服务连接
  • 安装 AD CS
  • 配置 AD CS
  • 测试通过 ldaps 连接 Active Directory
  • AD 相关策略修改测试
  • 相关 服务 以及 配置 的目的

Windows Active Directory 在 Windows Server 下的安装

安装 AD 域服务

  1. 打开 Windows Server 中的 服务管理器
  1. 选择 添加角色和功能
  1. 选择 安装类型
  1. 服务器选择
  1. 选择 服务器角色
  1. 选择 功能
  1. 确认
  1. AD LDS
  1. 安装中
  1. 安装成功

安装 AD LDS

需要提醒的是, AD LDS 并不是必须要安装的, 你也可以选择不进行安装, 直接进行 配置 AD 域服务 的安装, 此处只是提供安装过程, 以及需要注意的点。

  1. 运行 安装向导
  1. 安装向导
  1. 创建 AD LDS 实例
  1. 设置 实例名字
  1. 设置 默认端口

如果该默认端口与 AD 默认端口 出现冲突,将导致 AD 域服务先决条件检查 失败

  1. 创建应用程序目录分区
  1. 选择存储位置
  1. 选择账户关联
  1. 分配管理权限
  1. 倒入对应的 LDIF
  1. 安装确认
  1. 安装中
  1. 安装完成

配置 AD 域服务

  1. 服务管理器 上, 将此服务提升为 域控制器
  1. 部署配置
  1. 域控制器 选项
  1. DNS 选型
  1. 其他选项
  1. 路径
  1. 查看选项
  1. 先决条件检查
  1. 执行安装即可

检查 Active Directory 服务连接

此处使用 ldp 进行连接测试, 无需输入更多 ldap 连接相关信息即可获取响应结果, 你也可以使用一些客户端(如 Apache Ldap Studio 等)来完成连接测试。当然 AD 管理中心 可以打开也意味着 当前 你的连接测试是没有问题的。

  1. Win + r 打开 CMD 执行窗口, 键入 ldp
  1. 选择连接, 打开一个连接

通过 ldap 连接 Active Directory

  1. 选择 ldap 协议, 进行测试
  1. 查看 连接测试 结果

通过 ldaps 连接 Active Directory

ldaps 协议的开启, 需要 安装配置 Active Directory 证书服务, 而现在并没有进行相关安装及配置, 连接结果 应该是 失败的

  1. 选择 ldaps 协议, 进行测试
  1. 查看 连接测试 结果

安装 AD CS

  1. 依旧是打开 服务器管理器
  1. 选择 添加角色和功能
  1. 选择 安装类型
  1. 进行 服务器选择
  1. 增加对应的 服务器角色
  1. 选择 添加功能
  1. 选择对应的功能
  1. AD CS
  1. 选择对应的 角色服务
  1. 确认安装
  1. 安装中
  1. 安装完成

配置 AD CS

  1. 进入配置目标服务器 AD CS 的界面
  1. 指定 凭据
  1. 选择 角色服务
  1. 指定 CA 的设置类型
  1. 指定 CA 的类型
  1. 配置 私钥
  1. 指定 加密选项
  1. 指定 CA 名称
  1. 指定 CA 有效期
  1. 指定 CA 数据库
  1. 确认当前选项
  1. 查看配置结果

测试 ldaps 连接 Active Directory

  1. Win + r 打开 CMD 执行窗口, 键入 ldp
  1. 选择连接, 打开一个连接
  1. 打开测试应用
  1. 查看测试结果

AD 相关策略 的修改与测试

  1. 打开 AD 管理中心

或者

  1. 通过 AD 管理中心 新增一个用户
  1. 增加 一个用户
  1. 查看 新增结果
  1. 打开 AD 策略修改器
  1. 编辑 AD 策略
  1. 进入 计算机配置
  1. 进入 策略
  1. 进入 windows 设置
  1. 进入 安全设置
  1. 进入 账户策略
  1. 进入 密码策略
  1. 修改 密码长度最小值

  1. 点击 应用, 点击 确认

  2. 再次尝试新增一个 密码强度不够 的用户

  1. 查看新增结果

相关 服务 以及 配置 的目的

此节主要讲解以上服务安装以及相关配置的目的:

  • Windows Active Directory 在 Windows Server 下的安装

对于 AD 的相关操作, 前提就是构建一个 AD 服务, 而安装 AD 域服务就是在构建一个 AD 服务

  • 安装 AD LDS

AD LDS 的安装并不是必须的

正如文档介绍: AD LDS 为应用程序特定的数据以及启用目录的应用程序(不需要 AD 域服务基础架构)提供存储. 一个服务器上可以存在多个 AD LDS 实例, 其中每个实例都可以有自己的架构

  • 配置 AD 域服务

配置 AD 域服务 是为了完成 AD 域服务的初始化工作, 以完成后续核心功能的构建

  • 检查 Active Directory 服务连接

检查 Active Directory 服务是否可用, 是否可以通过 ldap 进行连接, 这意味着是否可以将 AD 的管理映射为 ldap 的相关操作

  • 安装 AD CS

AD CS 为 AD 的传输提供了安全的加密套件, 支持 ldaps 协议, 既能保证信息安全传输, 以及不可篡改等。 一些对于信息数据极其敏感的操作需要在 ldsps 下完成, 比如 新增一个用户并设置密码, 调整一个用户状态为启用 等. 该项功能的缺失, 会导致 Authing 数据同步的用户信息的状态是不可用的

  • 配置 AD CS

配置 AD CS 是为了完成 AD CS 的初始化工作, 以完成后续功能的构建。

  • 测试通过 ldaps 连接 Active Directory

测试 AD CS 的相关配置是否出现问题, 是否是可用的。

  • AD 相关策略修改测试

此项行为主要为了引导用户注意 AD 服务中的密码相关策略, 因为可能导致在 Authing 中新增的用户在同步到 AD 的过程中, 出现一些问题。

场景如下:

  • Authing 中的当前密码强度等级较低, 用户新增加了一个弱密码账户, 而 AD 中的密码当前设置状态要求一定的复杂度, 当用户同步过去的时候, 就会因为这些问题造成同步状态异常(用户虽然可以同步, 但是状态一直是禁用状态,因为密码会设置不成功,不符合 AD 的策略,会导致用户启用不成功)。
  • Authing 中的用户名现在并没有存在设置特殊的规则进行验证筛选, 也就是默认 Authing 中的用户的 username 可以是任何字符串。但是 AD 中的用户名却不是, AD 中的 sAMAccountName 属性, 有一定的限制, 这样就导致了 Authing 到 AD 的数据需要处理这些差异性, 而这些差异性的导致来自于不同的系统, 又是较为合理常见的, 我们假设增加一个 Authing 用户 username 为 authing@gmail.com, 当进行同步的时候, 常规意义下 usernamesAMAccountName 意义相同的, 这两个字段应该作为映射双方, 但是 authing@gmail.com 赋值给 sAMAccountName 是非法的, 必会引起错误。
回到列表