域或域加安全令牌身份验证

端点管理支持对一个或多个(与轻型目录访问协议(LDAP)兼容的)目录执行基于域的身份验证。可以在终端管理中配置到一个或多个目录的连接。端点管理使用LDAP配置导入组，用户帐户和相关属性。

重要提示：

用户在端点管理中注册设备后,端点管理不支持将身份验证模式从一种身份验证模式更改为其他身份验证模式。例如，在用户注册后，您无法将身份验证模式从域身份验证更改为域 + 证书。

关于ldap

LDAP是一个独立于供应商的开源应用程序协议,用于通过互联网协议(IP)网络访问和维护分布式目录信息服务。目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。

Ldap的常见用处是为用户提供单点登录(sso)，即每个用户在多项服务之间共享一个密码。通过单点登录，用户登录一次公司Web站点，可对公司内网进行经过身份验证访问。

客户端通过连接到LDAP服务器(称为目录系统代理程序(目录系统代理,DSA))启动LDAP会话。然后，客户端向服务器发送操作请求，服务器通过相应的身份验证进行响应。

在终端管理中添加或编辑LDAP连接

您通常在加入端点管理时配置LDAP连接，如配置ldap中所述。如果您在该部分中显示的屏幕可用之前加载，请使用本部分中的信息添加ldap连接。

1. 在端点管理控制台中，转到设置> ldap。

2. 在服务器下方，单击LDAP。此时将显示LDAP页面。

   

3. 在LDAP页面上，单击添加或编辑。此时将显示添加ldap或编辑ldap页面。

   

4. 配置以下设置：

   • 目录类型：在列表中，单击相应的目录类型。默认值为微软活动目录。
   • 主服务器：键入用于ldap的主服务器;可以输入IP地址或完全限定的域名(fqdn)
   • 辅助服务器：(可选)如果配置了辅助服务器，请输入辅助服务器的IP地址或fqdn。此服务器是故障转移服务器，在无法访问主服务器时使用。
   • 端口：键入ldap服务器使用的端口号。默认情况下，对于不安全的ldap连接，端口号设置为389。对安全的ldap连接使用端口号636，对微软不安全LDAP连接使用3268，或者对微软安全LDAP连接使用3269。
   • 域名：键入域名。
   • 用户基础dn:通过唯一标识符在活动目录中键入用户的位置。语法示例包括：ou =用户、dc =例子或dc = com。
   • 组基础dn:在活动目录中键入组的位置。例如Cn =users, dc=domain, dc=net，其中cn =用户表示组的容器名称，直流表示活动目录的域组件。
   • 用户id:键入与Active Directory帐户关联的用户ID。
   • 密码：键入与用户关联的密码。
   • 域别名：键入域名的别名。如果在注册后更改域别名设置，用户必须重新注册。

   • 终端管理锁定限制:键入0到999之间的数字，表示失败登录尝试次数。值为0表示终端管理从不根据失败登录尝试次数锁定用户。默认值为0。

     请注意将此锁定限制设置为低于ldap锁定策略的值。如果端点管理无法向LDAP服务器进行身份验证,这样做有助于防止用户锁定。例如、如果ldap锁定策略设置为5次尝试、请将此锁定限制配置为4或更低的值。

   • 终端管理锁定时间:键入0到99999之间的数字，表示用户超过锁定限制后必须等待的分钟数。值为0表示不强制用户在锁定后等待。默认值为1。
   • 全局目录TCP端口:键入全局目录服务器的TCP端口号。默认情况下，tcp端口号设置为3268;对于SSL连接，使用端口号3269。
   • 全局目录根上下文：(可选)键入用于在活动目录中启用全局目录搜索的全局根上下文值。此搜索是除标准ldap搜索之外的方法，可在任何域中使用，无需指定实际的域名。

   • 用户搜索依据：选择端点管理用于搜索此目录中的用户的用户名或用户ID的格式。用户在注册时以此格式输入其用户名或用户id。如果在注册后通过设置更改用户搜索，用户必须重新注册。

     如果选择userPincipalName，则用户以下格式输入用户主体名称(upn):

     • 用户名@域

     如果选择sAMAccountName，则用户将输入以下格式之一的安全帐户管理员(sam)名称:

     • 用户名@域
     • 域\用户名
   • 使用安全连接：选择是否使用安全连接。默认值为否。

5. 单击保存。

删除ldap兼容目录

1. 在LDAP表中，选择要删除的目录。

   可以通过选中每个属性旁边的复选框，选择多个要删除的属性。

2. 单击删除。此时将显示确认对话框。再次单击删除。

配置域加安全令牌身份验证

可以将端点管理配置为要求用户通过半径协议使用其LDAP凭据以及一次性密码进行身份验证。

要实现最佳可用性,可以将此配置与Citrix销和Active Directory密码缓存组合在一起。采用该配置时，用户不需要重复输入其ldap用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。

配置ldap设置

使用LDAP进行身份验证要求您在端点管理上安装证书颁发机构颁发的SSL证书。有关信息，请参阅上传证书。

1. 在设置中，单击LDAP。

2. 选择微软活动目录，然后单击编辑。

   

3. 确认“端口”为636(用于安全ldap连接)还是3269(用于Microsoft安全LDAP连接)。

4. 将使用安全连接更改为是。

   

配置Citrix Gateway设置

以下步骤假定您已向终端管理中添加Citrix网关实例。要添加Citrix Gateway实例，请参阅Citrix Gateway和Endpoint Management。

1. 在设置中，单击Citrix网关。

2. 选择Citrix Gateway，然后单击编辑。

3. 在登录类型中，选择域和安全令牌。

启用Citrix PIN和用户密码缓存

要启用Citrix PIN和用户密码缓存，请转至设置 > 客户端属性，然后选中这些复选框：启用Citrix PIN身份验证和启用用户密码缓存。有关详细信息，请参阅客户端属性。

配置Citrix Gateway以进行域和安全令牌身份验证

为与端点管理配合使用的虚拟服务器配置Citrix网关会话配置文件和策略。有关信息，请参阅Citrix Gateway文档。