A.2. "Service Objects"(服务对象)选项卡

可以在 "Service Objects"(服务对象)选项卡中查看、创建、编辑和管理服务对象。服务对象是一组用于以下 SGD 验证机制的配置设置:

可使用 "Service Objects List"(服务对象列表)表中的按钮管理 SGD 阵列的服务对象。

可使用 "Repository Type"(系统信息库类型)选项启用第 A.1.18 节 “LDAP”第 A.1.17 节 “Active Directory”验证。仅当创建了 LDAP 和 Active Directory 服务对象后,才可以使用 "Repository Type"(系统信息库类型)选项。

从命令行,使用 tarantella service 命令创建、删除、编辑和列出服务对象。请参见第 D.97 节 “tarantella service”

有关服务对象的更多信息,请参见第 2.8.4 节 “使用服务对象”

A.2.1. "Service Objects List"(服务对象列表)表

"Service Objects List"(服务对象列表)表显示为 SGD 阵列配置的服务对象。

使用 "Secure Global Desktop Authentication Wizard"(Secure Global Desktop 验证向导)启用 LDAP 或 Active Directory 验证时,会自动创建名为 generated 的服务对象,并显示 "Service Objects List"(服务对象列表)表。

"Service Objects List"(服务对象列表)表包括每个服务对象的以下信息:

  • Position(位置)。服务对象在表中的位置。最高位置为 1。SGD 按显示顺序使用启用的服务对象。

  • Name(名称)。服务对象的名称。

  • Enabled/Disabled(已启用/已禁用)。服务对象已启用还是已禁用。

  • Type(类型)。服务对象类型,LDAP 或 Active Directory。

  • URL。LDAP 服务器或 Active Directory 林的 URL。如果指定了多个 LDAP 服务器,则显示多个 URL。

"New"(新建)按钮用于创建新服务对象。在 "Service Objects List"(服务对象列表)表末尾的最后位置添加新服务对象。

"Edit"(编辑)按钮用于编辑所选的服务对象。

"Delete"(删除)按钮用于删除所选的服务对象。

"Duplicate"(复制)按钮用于生成所选服务对象的副本。

"Enable"(启用)和 "Disable"(禁用)按钮用于切换所选服务对象的启用状态。

"Move Up"(上移)和 "Move Down"(下移)按钮用于更改所选服务对象在表中的位置。

可以通过单击 "Reload"(重新装入)按钮更新 "Service Objects List"(服务对象列表)表。

创建、复制或编辑服务对象时,会显示新的窗口来允许您配置该服务对象。在此窗口中,只能为服务对象配置以下常用设置:

此外,还有一些只能使用 tarantella service newtarantella service edit 命令从命令行进行配置的高级服务对象设置,有关更多详细信息,请参见第 2.8.4 节 “使用服务对象”

A.2.2. Name(名称)

用法:在字段中键入服务对象的名称。

服务对象的名称。

一旦创建了某个服务对象,便无法将其重新命名。可使用 "Service Objects List"(服务对象列表)表中的 "Duplicate"(复制)按钮创建服务对象的具有不同名称的副本。

名称只能包含小写字母、数字或字符 _-

A.2.3. 类型

用法:选择 LDAP 或 Active Directory 选项。

"Type"(类型)设置控制哪种 SGD 验证机制可以使用服务对象。

即使使用 Microsoft Active Directory 服务器进行 LDAP 验证,也选择 LDAP 选项。

Active Directory 服务对象仅用于 Active Directory 验证。

一旦创建了某个服务对象,便无法更改类型。

A.2.4. Enabled(已启用)

用法:选中或者取消选中复选框。

是否启用服务对象。必须先启用服务对象,SGD 才能使用该对象。

A.2.5. URL

用法:在字段中键入一个或多个统一资源定位符 (uniform resource locator, URL)。用分号分隔每个 URL。

对于 LDAP 服务对象,键入 LDAP 目录的一个或多个 URL。按列出顺序使用 URL。如果无法使用列出的第一个 LDAP 目录服务器,SGD 会尝试列表中的下一个服务器。或者,可以为每个 URL 创建单独的服务对象。SGD 按每个服务对象的位置顺序使用该服务对象。每个 LDAP URL 的格式为 ldap://server:port/searchroot。这些选项中的每个选项定义如下:

  • Server(服务器)。LDAP 目录服务器的域名系统 (Domain Name System, DNS) 名称。

  • Port(端口)。LDAP 目录服务器用来侦听连接的 TCP 端口。可以省略此项以及前面的 ":" 字符来使用默认端口。

  • Searchroot(搜索根目录)。用作搜索基的标识名 (distinguished name, DN),例如 dc=example,dc=com。这将指定用于搜索用户身份的 LDAP 目录部分。

如果 LDAP 目录服务器使用安全套接字层 (Secure Sockets Layer, SSL) 连接,则使用 ldaps:// URL。SSL 连接可能需要额外配置,请参见第 2.4.3.2 节 “LDAP 验证的网络要求”

为 LDAP 服务对象配置的所有 URL 必须为同一类型,ldap://ldaps://。不能混合使用 ldap://ldaps:// URL。

对于 Active Directory 服务对象,键入 Active Directory 林的 URL。例如,ad://example.com。URL 必须ad:// 开头。仅键入一个 URL。

使用 "Test"(测试)按钮测试与 URL 的连接。

A.2.6. 用户名和密码

用法:在这些字段中键入用户名和密码。

有权搜素目录服务器的用户的用户名和密码。

出于安全原因,将不显示密码,即使先前已经设置了密码。

对于 LDAP 服务对象,键入用户的 DN,例如 cn=sgd-user,cn=Users,dc=example,dc=com。此处为管理员绑定 DN,有关更多详细信息,请参见第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”。由于您只能输入一个用户名和密码,所以此用户必须能够搜索 URL 字段中列出的所有 LDAP 目录服务器。如果需要使用不同用户名和密码,请创建单独的服务对象。如果目录服务器支持匿名绑定,则可以省略用户名和密码。要使用匿名绑定,您必须能够执行对用户数据的 LDAP 查询。

对于 Active Directory 服务对象,用户名的格式为 user@example.com。如果在用户名中省略域名,SGD 将使用 "URL"、"Base Domain"(基本域)和 "Default Domain"(默认域)字段中的信息获取域。该用户必须具有在 Active Directory 中搜索用户信息的特权。

要在命令行中为目录服务器配置用户名和密码,请使用 tarantella passcache 命令。有关更多详细信息,请参见第 D.54 节 “tarantella passcache”

A.2.7. Connection Security(连接安全性)

用法:选择所需的选项。如果选择 SSL 选项,将启用使用客户端证书的选项。

用于实现与 Active Directory 服务器的安全连接的机制。

  • 仅使用 Kerberos 协议进行安全连接-对 "Connection Security"(连接安全性)选择 "Kerberos" 选项,然后分别在 "User Name"(用户名)和 "Password"(密码)字段中键入用户名和密码。默认情况下将选择此选项。

  • 使用 Kerberos 和 SSL 进行安全连接-对 "Connection Security"(连接安全性)选择 "SSL" 选项,然后分别在 "User Name"(用户名)和 "Password"(密码)字段中键入用户名和密码。

  • 使用 Kerberos、SSL 和客户端证书进行安全连接-对 "Connection Security"(连接安全性)选择 "SSL" 选项,然后选中 "Use Certificates"(使用证书)复选框。

有关使用 SSL 连接所需的其他配置的详细信息,请参见第 2.2.3.5 节 “与 Active Directory 之间的 SSL 连接”

A.2.8. Active Directory Base Domain(Active Directory 基本域)

用法:在字段中键入域名。

SGD 用于 Active Directory 验证的域(如果用户在登录时仅提供部分域)。

例如,如果基本域设置为 example.com,用户以用户名 rouge@west 登录,SGD 将用户作为 rouge@west.example.com 进行验证。

A.2.9. Active Directory Default Domain(Active Directory 默认域)

用法:在字段中键入域名。

SGD 用于 Active Directory 验证的域(如果用户在登录时未提供域)。

例如,如果默认域设置为 east.example.com,用户以用户名 rouge 登录,SGD 将用户作为 rouge@east.example.com 进行验证。