綁定AD

綁定AD功能支持管理員自主配置和管理企業的身份提提供方Active Directory(以下簡稱 AD)。

操作場景

身份管理可以打破身份孤島，實現統一訪問控制，允許企業成員使用一個賬號暢游所有應用。

操作步驟

1. 進入“天翼AI云電腦（政企版）”管理控制臺；

2. 展開“身份管理”菜單欄，選擇“身份提供方”，點擊“綁定AD”，進入“綁定AD”頁面；

第一步：連接AD

在第一步中，您需要在綁定AD中填寫以下信息：

顯示名稱：

說明：管理員查看AD配置及相關操作日志時顯示。

AD 域名：

說明：您的 Active Directory 域的全稱。

格式：符合 DNS 命名規范（例如：example.com）。

示例：corp.yourcompany.com

主域控制器 DNS：

說明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主機名。

示例：192.168.1.10 或 dc01.corp.yourcompany.com

備域控制器 DNS (可選)：

說明：備域控制器（Secondary Domain Controller）的 IP 地址或可解析的主機名。

示例：192.168.1.11 或 dc02.corp.yourcompany.com

AD 認證賬號：

說明：用于綁定和查詢 AD 的管理員賬號。此賬號必須對整個 AD 目錄至少擁有讀取權限。

格式：支持以下格式：

UPN 格式：username@domainname (例如：admin@corp.yourcompany.com)

DN 格式：CN=Username, OU=SomeOU, DC=corp, DC=yourcompany, DC=com (例如：CN=svc_bind, OU=Service Accounts, DC=corp, DC=yourcompany, DC=com)

權限要求： 必須擁有對整個 AD 目錄結構（所有域節點）的只讀訪問權限。

AD 認證密碼：

說明：上述認證賬號對應的密碼。

安全提示：輸入密碼通常以掩碼顯示。

用戶組織單元 (OU)：

說明： 指定需要同步或管理的 AD 用戶賬戶所在的組織單元 (OU) 路徑。此為必填項。

格式：使用 LDAP 可分辨名稱 (Distinguished Name)。

示例：OU=Employees, DC=corp, DC=yourcompany, DC=com

云電腦加入的 OU：

說明：指定云電腦在加入 AD 域時將被放置的組織單元 (OU) 路徑。

格式：使用 LDAP 可分辨名稱 (Distinguished Name)。

示例：OU=Cloud PCs, DC=corp, DC=yourcompany, DC=com

必填條件：僅在需要對云電腦執行加域操作時，此項為必填項。

共享公網出口 IP：

地址： 182.42.7.245

作用： 此 IP 是天翼云電腦服務訪問您本地 Active Directory 的源地址。

網絡要求： 若您的本地網絡防火墻或安全設備配置了 IP 白名單（允許列表），您必須將此 IP (182.42.7.245) 添加到白名單中。

防火墻端口要求：

目的： 允許云服務通過指定的協議端口與您的域控制器通信。

必需操作： 在您的防火墻白名單中，同時允許上述出口 IP (182.42.7.245) 訪問您域控制器的以下端口：

LDAP (明文/StartTLS)： 端口 389 (TCP)

LDAPS (SSL/TLS 加密)： 端口 636 (TCP)

注意： 具體需要開放的端口取決于您選擇的認證協議（見下文）。

目錄訪問協議：

可選協議：

LDAP： 標準輕型目錄訪問協議。默認使用端口 389。

StartTLS 擴展： 它在已建立的 LDAP 連接 (389) 上協商 TLS 加密，顯著提升通信安全性。啟用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 證書。

LDAPS： 基于 SSL/TLS 加密的 LDAP。強制使用端口 636。 提供全程加密通信。啟用同樣需要在 AD 域控制器上配置并部署有效的 SSL/TLS 證書。

域控制器服務器地址：

說明：提供您的 Active Directory 域控制器 (Domain Controller) 的可訪問地址。

格式：IP地址:端口 或 完整域名(FQDN):端口

要求：

主域控制器地址： (必填)

備域控制器地址： (可選)

端口選擇：

如果選擇 LDAP (無 StartTLS)，端口填 389。

如果選擇 LDAP + StartTLS 或 LDAPS，端口填 636。

關鍵說明：

服務器地址必須填寫其公網可路由的 IP 地址或可被公網 DNS 解析的 FQDN。

示例 (使用公網IP)：

主：203.0.113.10:636 (假設使用 LDAPS)

備：203.0.113.11:636

示例 (使用FQDN)：

主：dc01.corp.example.com:636

備：dc02.corp.example.com:636

重要提示： 請勿使用內網地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或僅在內網解析的域名。 云服務無法直接訪問您的內網地址。

第二步：選擇場景

在第二步中，選擇希望和AD實現的場景能力。

登錄未關聯用戶配置：

企業賬號經過企業認證通過后，如果還沒有同步用戶，選擇登錄失敗則返回失敗；

選擇自動創建用戶則創建用戶并登錄成功

增量同步：從所選擇的時間點開始進行同步

數據同步時間：從所選擇的時間點開始進行同步

同步時間間隔：從同步時間開始，每隔 X 小時執行一次同步

委托認證高可用：開啟后，如果域控服務器訪問失敗，可以使用本地密碼較驗

用戶ObjectClass：如果您自定義了AD 中對象的 ObjectClass，可以在此處配置。例如將 ObjectClass=user 的對象視作AD 中的用戶。

用戶登錄標識：可使用;對屬性進行分割，此時為或關系

用戶Filter過濾：可以使用LDAP語法對需要判斷的用戶進行過濾

第三步：字段映射

如果需要和AD用戶或組織進行綁定，例如將AD用戶的用戶名作為天翼云電腦賬戶的賬戶名，則需要在第三步配置字段映射。如需使用映射標識能力，需手動設置為同步標識，如下圖的用戶名字段。

配置其它AD

用于管理虛擬桌面加入域的操作（即“加域”過程），限制最多配置兩個企業AD。最多只能配置兩個其它AD。

配置系統：Windows 系統 、銀河麒麟、中標麒麟

其它配置項參考綁定AD