配置 Microsoft Active Directory 服务

  • 为了实现最高的安全性,Hewlett Packard Enterprise 建议仅使用 TLS 1.2 协议配置目录服务器。

  • 下面将 Active Directory 属性映射到相应的 LDAP 属性:

    LDAP 属性

    Active Directory 属性

    cn

    Common-Name

    uid

    UID

    userPrincipalName

    User-Principal-Name

    sAMAccountName

    SAM-Account-Name

  • 如果用户对象是在 Microsoft 管理控制台的 Active Directory 用户和计算机中创建的,则默认名称如下所示。

    请指定用户名的以下组成部分,它们在此处与相应的属性一起显示:

    用户名组成部分

    属性

    givenName

    姓名首字母

    initial

    sn

    标记为全名的字段默认使用该格式。该字符串分配给 cn 属性(公用名)。

    givenName.initials.givenName.initial.sn
            

    新建对象 - 用户对话框中,您还需要指定一个用户登录名用户登录名与 DNS 域名合并在一起以变为 userPrincipalNameuserPrincipalName 是用户可用于登录的备用名称。它采用以下格式:

    LogonName@DNSDomain
            

    例如:

    joeuser@example.com
  • 最后,在输入用户登录名时,将在 Windows 2000 以前版本的登录名称字段中自动填充前 20 个字符,这会变为 sAMAccountName 属性。

  • 不接受内置 Active Directory 用户帐户的 CN 登录名,例如,Administrator。如果正确设置了相应的属性(sAMAccountName、userPrincipalName 和 UID),则可以接受其他登录格式。

  • 如果 Active Directory 域名和以前的 Windows 登录名不同,请在 HPE OneView 中将以前的 Windows 登录名作为目录名。可以使用简单用户名在 HPE OneView 中成功登录。
    示例:
    如果 Active Directory 上的域是 example.com,并且 Windows 2000 以前的域名是 winNTexample,将目录名称作为 winNTexample 允许用户仅使用其用户名登录。指定 username 登录名的用户将在目录中作为 winNTexample\username 进行身份验证。如果无法更改目录名,可以将登录名明确指定为 winNTexample\username,也可以使用 userPrincipalName 属性登录,例如 username@example.com