Splashtop 本地部署版可以与 Windows Server 2008 r2、2012、2016、2019的活动目录(AD)以及微软 Azure AD 进行集成。集成后 ,系统管理员即可轻松验证并管理 AD 帐户,立即启用 Splashtop 本地部署服务。
AD 用户登录 Splashtop 本地部署版(Gateway v3.18.0及以上)时使用用户主体名
1. 以所有者身份登录 Splashtop Gateway,进入“管理 -> 身份验证”界面
2. 编辑或创建您的活动目录服务器
3. 从您的 AD 服务器键入其他 UPN 后缀映射(从 Active Directory 域和信任关系中查看您的 UPN 后缀),保存设置。您可以在 Splashtop 系统中添加最多30个 UPN 后缀。
4. 确保 Splashtop Gateway 中保存的 UPN 后缀列表中已包含所有实际用户登录后缀。
5. 现在,所有现有的 Gateway AD 用户均将自动新增一种其他登录方式。即 UPN 名称登录和 sAMAccountName+domain 登录。
6. 新增 AD 用户需要从所有可用的 UPN 后缀中为该用户指定 UPN 后缀。
活动目录集成
1. 添加AD服务器
首先,您需要绑定您的本地 AD 服务器到 Splashtop Gateway。绑定后,即可轻松从 Gateway 网页控制台添加 AD 用户或 AD 组。
请以团队所有者身份登录 Gateway 网页控制台,进入管理 -> 设置 -> 身份验证界面,然后点击添加 AD 服务器:
- 名称:创建一个标记性强的AD名称,建议与企业内本地AD服务器名称相关。
- LDAP URL 语法:ldap 架构(ldap://)+(目标 AD 服务器的)隐含地址 + 端口号(如果需要)。下图即为 LDAP URL 语法示例:ldap://onpremise.corp
- 支持 LDAPS
- 用户 Base DN:活动目录用户的 Distinguished Name。我们在 AD 目录树中将“用户 Base DN”用作用户身份验证节点。
- 如下图所示,复制粘贴目标 AD 用户的 Distinguished Name:打开 Windows 2016 的“Active Directory 用户和计算机”,在查看选项卡中,选择高级功能,右键单击目标 AD 用户,选择编辑属性,双击 distinguishedName 属性以复制参数内容。
- 组 Base DN:活动目录组的Distinguished Name。我们在AD目录树中将您提供的Group Base DN作为组身份的验证节点。
- 帐户:目标 AD 服务器要绑定的用户帐户。用户帐户语法:sAMaccountName@dc.dc
- 注意:“SAMaccountName”可以在多个 AD 中重复出现,Gateway 将通过 @dc.dc 搜索 AD 用户,以确保多个 AD 服务器中用户的唯一性。
- 密码:AD 帐户的原始密码。
- 测试连接:单击此按钮可检查目标AD服务器是否关联集成成功。
- 添加:点击此按钮可将经过验证的 AD 服务器绑定到 Splashtop Gateway。
注意:
1. 避免添加多个重叠嵌套的 AD 服务器。请检查用户 Base DN 和组 Base DN 的唯一性,确保每个 AD 用户和 AD 组仅源于同一个 AD 服务器。重叠嵌套的 AD 服务器或将导致 AD 用户导入验证失败以及无效的 AD 组成员。
2. 添加 AD 服务器时,请禁用浏览器扩展程序 AdBlock 或 Adblock Plus,否则添加请求将被浏览器扩展程序阻止!
2. 添加AD用户或AD组
成功验证并添加 AD 服务器后,您需要前往管理 - 设置 - 身份验证界面,检查 AD 服务器是否已成功添加至 Gateway。然后,再次导航到管理选项卡 - 用户,点击顶部的添加 AD 用户按钮。
- 类型:通过选择AD用户,将对AD个人用户进行身份验证并将其添加到Splashtop Gateway。通过选择AD组可以对组内的AD组成员进行批量身份添加。(组成员必须先登录Gateway 网页控制台,之后才会显示在Gateway的用户列表中)
- AD服务器:选择包含目标AD用户或组的AD服务器。
- 帐户:填写目标AD用户或组的sAMaccountName@AD本地域名 。
- 组:选择AD用户或AD组用户被添加到的Splashtop Gateway组别。
- 权限:选择管理员或成员以分配不同访问权限。
- * SOS人员:启用SOS有人值守功能。(*基于订阅计划)
- 验证 :检查AD用户或组的身份验证是否可用。
- 添加:添加经过验证的 AD 用户或组至目标组。
3. AD组成员
绿色用户图标表示AD用户或AD组,如下面的截图所示。如果将AD组成功添加到Splashtop Gateway,则意味着其关联的AD成员已经通过身份验证,并且能够登录到Splashtop Gateway以及On-Prem部署版应用。
AD 组成员中的用户必须使用其 AD 帐户在 Splashtop 网页控制台或部署版应用程序完成至少一次登录,才会出现在 AD 组成员。但您可以对刚添加的 AD 组集合(如下图的 AD 组"123")的访问权限进行批量预配置。相对而言,添加到 Gateway 的 AD 个人用户将立即显示并可对其进行配置与管理。
注意:通过父级 AD 组验证的 AD 组成员将继承该组的用户权限和访问权限。
可通过 AD 组的齿轮按钮配置 AD 组成员的用户
所有成功添加到Splashtop Gateway的AD用户都可以使用其AD凭据登录Splashtop 部署版应用并直接使用Splashtop远程服务。