使用單一登入配置工具可指示登錄的資料來源使用相同的 LDAP 計劃來驗證使用者。 單一登入配置工具可讓您提供使 CA 伺服器以安全的方式連線至 LDAP 伺服器的參數。 使用 Digest-MD5 或 GSSAPI 將與 LDAP 伺服器的連線加密時,將以您指定的使用者身分進行單一繫結作業。
您也可以使用配置工具,將 LDAP 目錄中的使用者與 CA Performance Center 中預先定義或自訂的使用者帳戶相關聯。
請依循下列步驟:
以 root 使用者身分或「sudo」命令登入。
InstallationDirectory/CA/PerformanceCenter
系統會提示您選取選項。 可用的選項將對應於本機伺服器上執行的 CA 應用程式。
系統會提示您選取選項。
系統會提示您指定優先順序。
優先順序參數僅會套用至 CA Performance Center。
指只有管理員才能變更的設定。 這類設定會傳播至已向此 CA Performance Center 執行個體登錄的其他所有 CA 產品。 只有在對應的「本機覆寫」值不存在時,才會使用「遠端值」設定。
指可對所有產品變更的設定。 如果「本機覆寫」值存在,其優先順序高於「遠端值」和預設設定。
系統會提示您選取要配置的內容。
定義登入伺服器用來連線至 LDAP 伺服器的使用者 ID。 此 LDAP 使用者名稱會用來繫結至伺服器。 使用 GSSAPI 等驗證機制的連線一般不需要服務帳戶。
範例:如果登入伺服器使用固定帳戶,請輸入使用下列語法的文字:
CN=The User,cn=Users,dc=domain,dc=com
另外,因為連線使用驗證機制,您也可以輸入下列的值:
{0}
複雜的配置需要使用者主體名稱,才能識別使用者。 請提供「{0}」,並使用其電子郵件地址做為網域名稱。 例如:
{0}@domain.com
LDAP 伺服器通常不需要有完整 DN 來進行加密連線。
附註:基於安全考量,請勿將連線使用者設定為靜態帳戶。 LDAP 驗證在繫結至伺服器時,只會檢查密碼。 如果您使用靜態帳戶,LDAP 樹狀結構中存在的任何使用者都能夠使用任何密碼登入。
定義登入伺服器用來連線至 LDAP 伺服器的密碼。
範例:如果登入伺服器使用固定帳戶,請輸入如下列範例所示的文字:
SomePassword
另外,因為連線使用驗證機制,您也可以輸入下列的值:
{1}
識別 CA 單一登入所連線到的 LDAP 伺服器和連接埠。 此外,還可識別搜尋作業在驗證使用者帳戶憑證時,於目錄樹狀結構中尋找使用者的位置。 如果您未在字串中的伺服器後同時提供連接埠號碼,將使用連接埠 389。
將下列格式使用於搜尋網域:
LDAP://ldap_server:port/path_to_search
附註:一定要有搜尋路徑。
指定用來在目錄中尋找正確使用者的條件。 搭配 [搜尋範圍] 參數一起使用。 如果只允許一部份的 LDAP 使用者登入,則可以使用搜尋字串來尋找記錄內的多項內容。 此參數的值可包含任何有效的 LDAP 搜尋條件。
範例:
(saMAccountName={0})
指定用來尋找正確使用者記錄的條件。 搭配 [搜尋字串] 參數一起使用。 決定 LDAP 伺服器針對使用者帳戶執行的搜尋範圍。 輸入下列其中一個值:
將目前目錄包含在搜尋中。 比對目前目錄中的物件,並防止意外比對位於目錄中更深層結構的項目。
將所有子目錄包含在搜尋中。 建議大部份安裝使用。
將搜尋限制於基本物件。
指定是否額外以使用者的辨別名稱 (DN) 與密碼進行一道驗證步驟 (繫結),以驗證所提供的認證。
預設:已停用。 使用加密連線時可接受此值。
指定再次繫結至 LDAP 伺服器時要使用的驗證機制。
在此情況 (也就是使用驗證機制) 下,請按照 LDAP 伺服器的機制,輸入「GSSAPI」或「DIGEST-MD5」。
預設:簡易。
接受的值:簡易、GSSAPI、DIGEST-MD5。
指定要將缺乏群組成員資格的已驗證 LDAP 使用者對應到的 CA Performance Center 預設帳戶。 搭配 [帳戶密碼] 參數一起使用。 如果某個有效使用者不符合任何群組定義,此使用者會以此欄位中指定的預設使用者 ID 進行登入。
若要允許所有使用者以自己的使用者名稱登入,請輸入:
附註:[帳戶使用者] 參數會對應於此使用者之目錄項目中的某個欄位。 一般而言,該值將符合您的搜尋篩選器。
指定當經過驗證的 LDAP 使用者屬於 [群組] 參數所未指定群組的成員時,要複製的使用者帳戶。
範例:如果要這類使用者具有最低權限,請輸入「user」。
附註:需要現有使用者帳戶。
可讓您為選取的使用者帳戶或帳戶群組決定預設的帳戶處理方式。
範例:若要讓某個群組所有的成員使用管理員帳戶登入,請輸入:
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
指定 CA Performance Center 對 LDAP 伺服器進行授權檢查時所等候的時間量。 如果授權檢查逾時,嘗試登入的使用者的存取就會遭拒。 若要檢視錯誤,請開啟 SSOService.log 檔案。 預設逾時為 10000。
配置工具隨即關閉。
範例配置
Copyright © 2014 CA Technologies.
All rights reserved.
|
|