域或域加安全令牌身份验证

Endpoint Management支持对一个或多个符合轻量级目录访问协议(LDAP)的目录进行基于域的身份验证。在Endpoint Management中配置到一个或多个目录的连接。Endpoint Management使用LDAP配置导入组、用户帐户和相关属性。

重要的是:

终端管理不支持用户在终端管理中注册设备后，从一种认证模式切换到另一种认证模式。例如，您不能从更改身份验证模式域身份验证来域+证书在用户注册之后。

关于LDAP

LDAP是一种开源的、与供应商无关的应用程序协议，用于通过Internet协议(IP)网络访问和维护分布式目录信息服务。目录信息服务用于共享关于整个网络中可用的用户、系统、网络、服务和应用程序的信息。

LDAP的一种常见用法是为用户提供单点登录(SSO)，其中多个服务之间共享单个密码(每个用户)。单点登录(Single sign-on)是指用户一次性登录公司网站，通过认证访问企业内网。

客户端通过连接到LDAP服务器(称为目录系统代理(DSA))来启动LDAP会话。然后客户端向服务器发送操作请求，服务器用适当的身份验证进行响应。

在“端点管理”中添加LDAP连接

在安装到端点管理时，通常需要配置LDAP连接，如中所述配置LDAP．如果您是在该部分显示的屏幕可用之前登录的，那么使用本部分中的信息来添加LDAP连接。

1. 在端点管理控制台中，转到> LDAP．

2. 下服务器,点击LDAP．的LDAP页面出现。

   

3. 在LDAP页面,点击添加．的添加LDAP页面出现。

   

4. 配置这些设置:

   • 目录类型:在列表中，单击适当的目录类型。默认为微软活动目录．
   • 主服务器:输入用于LDAP的主服务器;可输入IP地址或FQDN。
   • 次要服务器:如果已经配置了备用服务器，可以输入备用服务器的IP地址或FQDN。如果无法到达主服务器，则使用此服务器作为故障转移服务器。
   • 端口:输入LDAP服务器使用的端口号。缺省情况下，端口号为389用于不安全的LDAP连接。使用端口号636对于安全的LDAP连接，使用3268微软不安全的LDAP连接，或3269微软安全LDAP连接。
   • 域名:输入域名。
   • 用户基准DN:通过唯一标识符在Active Directory中键入用户的位置。语法示例包括:ou =用户，dc =例子,或dc = com．
   • 组基准DN:在Active Directory中键入组的位置。例如,Cn =users, dc=domain, dc=net在哪里cn =用户表示组和的容器名称直流表示Active Directory的域组件。
   • 用户标识:键入与Active Directory帐户相关联的用户ID。
   • 密码:输入与用户关联的密码。
   • 域名别名:键入域名的别名。如果你改变域名别名设置注册后，用户必须重新注册。

   • 端点管理锁定限制:在中间输入一个数字0而且999登录尝试失败的次数。值为0意味着端点管理不会根据失败的登录尝试锁定用户。默认为0．

     考虑将此锁定限制设置为比LDAP锁定策略更低的值。这样做有助于防止在Endpoint Management无法向LDAP服务器进行身份验证时锁定用户。例如，如果LDAP锁定策略为5次尝试，则将此锁定限制配置为4或更低。

   • 端点管理锁定时间:在中间输入一个数字0而且99999表示用户超过锁定限制后必须等待的分钟数。值为0意味着用户在锁定后不被强制等待。默认为1．
   • 全局编录TCP端口:键入全局编录服务器的TCP端口号。缺省情况下，TCP端口号为3268；对于SSL连接，使用端口号3269．
   • 全局编录根上下文:可选地，键入用于在Active Directory中启用全局编目搜索的全局根上下文值。这种搜索是对标准LDAP搜索的补充，在任何域中都不需要指定实际域名。

   • 用户查询方式:选择Endpoint Management用于在此目录中搜索用户的用户名或用户ID的格式。用户在注册时以这种格式输入他们的用户名或用户ID。如果你改变用户按设置注册后，用户必须重新注册。

     如果你愿意userPrincipalName，用户输入用户主体名(UPN)，格式如下:

     • 用户名@域

     如果你愿意sAMAccountName，用户以下列格式之一输入安全帐户经理(SAM)名称:

     • 用户名@域
     • 域\用户名
   • 使用安全连接:选择是否使用安全连接。默认为没有．

5. 点击保存．

删除ldap兼容目录

1. 在LDAP表中，选择要删除的目录。

   通过选中每个属性旁边的复选框，可以选择要删除的多个属性。

2. 点击删除．出现一个确认对话框。点击删除一次。

配置域+安全令牌认证

您可以将Endpoint Management配置为要求用户使用其LDAP凭据和一次性密码进行身份验证，使用RADIUS协议。

为了获得最佳的可用性，您可以将此配置与Citrix PIN和Active Directory密码缓存结合使用。使用该配置，用户不必重复输入LDAP用户名和密码。用户输入用户名和密码进行注册、密码过期和帐户锁定。

配置LDAP

使用LDAP进行身份验证需要从端点管理上的证书颁发机构安装SSL证书。有关信息，请参见上传证书．

1. 在设置,点击LDAP．

2. 选择微软活动目录然后点击编辑．

   

3. 确认端口为636，用于安全LDAP连接，或3269微软安全LDAP连接。

4. 改变使用安全连接来是的．

   

配置Citrix Gateway

下面的步骤假设您已经向Endpoint Management添加了一个Citrix Gateway实例。若要添加Citrix Gateway实例，请参见Citrix网关和端点管理．

1. 在设置,点击Citrix网关．

2. 选择Citrix Gateway，然后单击编辑．

3. 从登录类型中,选择域和安全令牌．

启用Citrix PIN和用户密码缓存

启用Citrix PIN和用户密码缓存，请执行设置>客户端属性选中这些复选框:启用Citrix PIN Authentication而且启用用户密码缓存．有关更多信息，请参见客户属性．

配置Citrix Gateway用于域认证和安全令牌认证

为端点管理使用的虚拟服务器配置Citrix Gateway会话概要文件和策略。有关信息，请参阅Citrix Gateway文档。