可以在 "Service Objects"(服务对象)选项卡中查看、创建、编辑和管理服务对象。服务对象是一组用于以下 SGD 验证机制的配置设置:
Active Directory 验证,请参见第 2.2 节 “Active Directory 验证”
LDAP 验证,请参见第 2.4 节 “LDAP 验证”
使用 LDAP 系统信息库搜索的第三方验证,请参见第 2.6 节 “第三方验证和 Web 验证”
可使用 "Service Objects List"(服务对象列表)表中的按钮管理 SGD 阵列的服务对象。
可使用 "Repository Type"(系统信息库类型)选项启用第 A.1.18 节 “LDAP”或第 A.1.17 节 “Active Directory”验证。仅当创建了 LDAP 和 Active Directory 服务对象后,才可以使用 "Repository Type"(系统信息库类型)选项。
从命令行,使用 tarantella service 命令创建、删除、编辑和列出服务对象。请参见第 D.97 节 “tarantella service”。
有关服务对象的更多信息,请参见第 2.8.4 节 “使用服务对象”。
"Service Objects List"(服务对象列表)表显示为 SGD 阵列配置的服务对象。
使用 "Secure Global Desktop Authentication Wizard"(Secure Global Desktop 验证向导)启用 LDAP 或 Active Directory 验证时,会自动创建名为 generated
的服务对象,并显示 "Service Objects List"(服务对象列表)表。
"Service Objects List"(服务对象列表)表包括每个服务对象的以下信息:
Position(位置)。服务对象在表中的位置。最高位置为 1。SGD 按显示顺序使用启用的服务对象。
Name(名称)。服务对象的名称。
Enabled/Disabled(已启用/已禁用)。服务对象已启用还是已禁用。
Type(类型)。服务对象类型,LDAP 或 Active Directory。
URL。LDAP 服务器或 Active Directory 林的 URL。如果指定了多个 LDAP 服务器,则显示多个 URL。
"New"(新建)按钮用于创建新服务对象。在 "Service Objects List"(服务对象列表)表末尾的最后位置添加新服务对象。
"Edit"(编辑)按钮用于编辑所选的服务对象。
"Delete"(删除)按钮用于删除所选的服务对象。
"Duplicate"(复制)按钮用于生成所选服务对象的副本。
"Enable"(启用)和 "Disable"(禁用)按钮用于切换所选服务对象的启用状态。
"Move Up"(上移)和 "Move Down"(下移)按钮用于更改所选服务对象在表中的位置。
可以通过单击 "Reload"(重新装入)按钮更新 "Service Objects List"(服务对象列表)表。
创建、复制或编辑服务对象时,会显示新的窗口来允许您配置该服务对象。在此窗口中,只能为服务对象配置以下常用设置:
此外,还有一些只能使用 tarantella service new 或 tarantella service edit 命令从命令行进行配置的高级服务对象设置,有关更多详细信息,请参见第 2.8.4 节 “使用服务对象”。
用法:在字段中键入服务对象的名称。
服务对象的名称。
一旦创建了某个服务对象,便无法将其重新命名。可使用 "Service Objects List"(服务对象列表)表中的 "Duplicate"(复制)按钮创建服务对象的具有不同名称的副本。
名称只能包含小写字母、数字或字符 _
和 -
。
用法:选择 LDAP 或 Active Directory 选项。
"Type"(类型)设置控制哪种 SGD 验证机制可以使用服务对象。
即使使用 Microsoft Active Directory 服务器进行 LDAP 验证,也选择 LDAP 选项。
Active Directory 服务对象仅用于 Active Directory 验证。
一旦创建了某个服务对象,便无法更改类型。
用法:在字段中键入一个或多个统一资源定位符 (uniform resource locator, URL)。用分号分隔每个 URL。
对于 LDAP 服务对象,键入 LDAP 目录的一个或多个 URL。按列出顺序使用 URL。如果无法使用列出的第一个 LDAP 目录服务器,SGD 会尝试列表中的下一个服务器。或者,可以为每个 URL 创建单独的服务对象。SGD 按每个服务对象的位置顺序使用该服务对象。每个 LDAP URL 的格式为 ldap://
。这些选项中的每个选项定义如下:
server
:port
/searchroot
Server(服务器)。LDAP 目录服务器的域名系统 (Domain Name System, DNS) 名称。
Port(端口)。LDAP 目录服务器用来侦听连接的 TCP 端口。可以省略此项以及前面的 ":" 字符来使用默认端口。
Searchroot(搜索根目录)。用作搜索基的标识名 (distinguished name, DN),例如 dc=example,dc=com
。这将指定用于搜索用户身份的 LDAP 目录部分。
如果 LDAP 目录服务器使用安全套接字层 (Secure Sockets Layer, SSL) 连接,则使用 ldaps://
URL。SSL 连接可能需要额外配置,请参见第 2.4.3.2 节 “LDAP 验证的网络要求”。
为 LDAP 服务对象配置的所有 URL 必须为同一类型,ldap://
或 ldaps://
。不能混合使用 ldap://
和 ldaps://
URL。
对于 Active Directory 服务对象,键入 Active Directory 林的 URL。例如,ad://example.com
。URL 必须以 ad://
开头。仅键入一个 URL。
使用 "Test"(测试)按钮测试与 URL 的连接。
用法:在这些字段中键入用户名和密码。
有权搜素目录服务器的用户的用户名和密码。
出于安全原因,将不显示密码,即使先前已经设置了密码。
对于 LDAP 服务对象,键入用户的 DN,例如 cn=sgd-user,cn=Users,dc=example,dc=com
。此处为管理员绑定 DN,有关更多详细信息,请参见第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”。由于您只能输入一个用户名和密码,所以此用户必须能够搜索 URL 字段中列出的所有 LDAP 目录服务器。如果需要使用不同用户名和密码,请创建单独的服务对象。如果目录服务器支持匿名绑定,则可以省略用户名和密码。要使用匿名绑定,您必须能够执行对用户数据的 LDAP 查询。
对于 Active Directory 服务对象,用户名的格式为 user@example.com
。如果在用户名中省略域名,SGD 将使用 "URL"、"Base Domain"(基本域)和 "Default Domain"(默认域)字段中的信息获取域。该用户必须具有在 Active Directory 中搜索用户信息的特权。
要在命令行中为目录服务器配置用户名和密码,请使用 tarantella passcache 命令。有关更多详细信息,请参见第 D.54 节 “tarantella passcache”。
用法:选择所需的选项。如果选择 SSL 选项,将启用使用客户端证书的选项。
用于实现与 Active Directory 服务器的安全连接的机制。
仅使用 Kerberos 协议进行安全连接-对 "Connection Security"(连接安全性)选择 "Kerberos" 选项,然后分别在 "User Name"(用户名)和 "Password"(密码)字段中键入用户名和密码。默认情况下将选择此选项。
使用 Kerberos 和 SSL 进行安全连接-对 "Connection Security"(连接安全性)选择 "SSL" 选项,然后分别在 "User Name"(用户名)和 "Password"(密码)字段中键入用户名和密码。
使用 Kerberos、SSL 和客户端证书进行安全连接-对 "Connection Security"(连接安全性)选择 "SSL" 选项,然后选中 "Use Certificates"(使用证书)复选框。
有关使用 SSL 连接所需的其他配置的详细信息,请参见第 2.2.3.5 节 “与 Active Directory 之间的 SSL 连接”。