17.2.2　集成活动目录

与所有优秀的企业级工具一样，UCP能够与活动目录及其他LDAP目录服务进行集成，从而利用组织中现有的单点登录系统中的用户和组。

在开始更加深入的介绍之前，请务必与负责组织目录服务的团队讨论AD/LDAP的集成方案。让他们从集成之初就参与进来，从而使得集成方案的制定和实施尽可能顺利进行。

UCP的用户和组的数据存储在一个本地数据库中，从而使DTR能够“开箱即用”地直接利用这一点来实现单点登录（SSO）。UCP的认证作用于本地所有的访问请求，因此登录到DTR时并不需要再输入一遍UCP的登录信息了。不过， UCP管理员 可以通过对UCP进行配置，以便利用现有存储在AD或其他LDAP目录服务中的企业用户账户 ——从而将账户管理和身份认证工作交给现有团队或服务。

下面将介绍如何配置UCP，来利用AD的用户账号。总体来说，其过程在于让UCP在一个指定的目录中搜索用户账号，并将其复制到UCP中。再次强调，以下操作请与目录服务团队合作完成。

让我们开始吧。

（1）展开左侧导航栏的 Admin （管理）下拉菜单，然后选择 Admin Settings （管理设置）。

（2）选择 Authentication & Authorization （认证&授权），并在 LDAP Enabled （启用 LDAP 标题下单击 Yes 。

（3）配置LDAP服务器设置。总体来说，LDAP Server Settings（LDAP服务设置）可以理解为到哪里去搜索。也就是，到哪个目录中去查询用户账号。

这里填写的内容以读者的实际环境为准。

LDAP Server URL（LDAP服务器URL）指域中要去搜索账户的LDAP服务器。例如 ad.mycompany.internal 。

Reader DN和Reader Password是在目录中有搜索权限的用户信息。该账户必须是在目录中存在且可信的。最好的实践方式是使用对目录具有只读权限的账户。

也可以单击 Add LDAP Domain + 按钮来添加额外的搜索域。每一个搜索域都需要提供其LDAP Server URL和Reader account。

（4）设置LDAP用户搜索配置项。如果说 LDAP Server Settings 是到哪里去搜索，那么 LDAP User Search Configuration （LDAP用户搜索配置）就是搜索什么。

• Base DN： 指在哪个LDAP节点中开始搜索。
• UserName Attribute ：指会被用于UCP中用户名的LDAP属性。
• Full Name Attribute ：指会被对应到UCP中用户全名的LDAP属性。

其他高级设置请查看文档。当然，在配置与LDAP集成的时候还应咨询目录服务团队。

（5）一旦完成了LDAP的配置，UCP会在LDAP搜索匹配的用户，并在UCP的用户数据库创建它们。之后，UCP会根据在 Sync Interval (Hours) （同步周期（小时））的设置进行周期性的同步。

如果勾选 Just-In-Time User Provisioning （即时用户置备）复选框，UCP会将创建用户的操作延迟到该用户第一次登录时进行。

（6）在单击 Save 前，尽量在 LDAP Test Login （LDAP登录测试）下进行登录测试。

在进行登录测试时需要使用所配置的LDAP系统中的账户。该测试会基于以上的所有配置（待保存的LDAP配置）。请在测试成功后再保存配置。

（7）保存配置。

此时，UCP会搜索LDAP系统，并创建能够匹配Base DN以及其他配置的账户。

在集成LDAP之前创建的账户依然存在于系统中，并且依然可用。